Вредоносное ПО Decoy Dog — обновление Pupy RAT

Недавно исследователи кибербезопасности провели тщательное расследование недавно обнаруженного вредоносного ПО под названием Decoy Dog и обнаружили, что оно представляет собой значительное улучшение по сравнению с Pupy RAT, трояном удаленного доступа с открытым исходным кодом, который послужил его основой.

Согласно отчету, опубликованному Infoblox, Decoy Dog может похвастаться рядом мощных и ранее неизвестных возможностей. Примечательно, что он обладает способностью переносить жертв на альтернативный контроллер, тем самым обеспечивая постоянную связь со скомпрометированными машинами и облегчая длительные периоды сокрытия. Удивительно, но некоторые жертвы поддерживали активную связь с сервером Decoy Dog более года.

Приманка для собак с новыми возможностями

Среди недавно добавленных функций Decoy Dog может выполнять произвольный код Java на клиенте и устанавливать соединения с аварийными контроллерами, используя механизм, напоминающий традиционный алгоритм генерации домена DNS (DGA). Этот механизм гарантирует, что домены-приманки могут эффективно отвечать на повторяющиеся DNS-запросы от взломанных клиентов.

Доктор Рене Бертон, глава отдела анализа угроз в Infoblox, подчеркнула, что Decoy Dog предлагает функциональные возможности, которых нет в Pupy. Особо следует отметить команду, которая предписывает скомпрометированному устройству прекратить связь с текущим контроллером и вместо этого подключиться к другому. Это открытие стало возможным благодаря статистическому анализу DNS-запросов.

Вредоносная программа была обнаружена в начале апреля 2023 года, когда компания Infoblox обнаружила необычную активность DNS-маяков, выявив целевые атаки на корпоративные сети. Точное происхождение Decoy Dog остается окутанным тайной, но есть подозрения, что это работа избранной группы хакеров из национального государства. Несмотря на использование разных тактик, эти субъекты угроз реагируют на входящие запросы, которые соответствуют структуре связи клиентов.

Decoy Dog функционирует, используя систему доменных имен (DNS) для выполнения своих операций управления и контроля (C2). Скомпрометированные конечные точки взаимодействуют с контроллером (или сервером) через DNS-запросы и ответы IP-адресов, получая инструкции в процессе.

В ответ на более ранние разоблачения злоумышленники быстро адаптировали свою инфраструктуру атаки. Они отключили некоторые DNS-серверы имен и зарегистрировали новые домены для замены, чтобы обеспечить удаленное сохранение.

Первоначальные даты развертывания ложных собак до 2022 г.

Первый известный случай развертывания Decoy Dog относится к концу марта или началу апреля 2022 года, после чего было обнаружено три других кластера, находящихся под контролем разных контроллеров. На данный момент идентифицирован в общей сложности 21 домен-приманка.

В дополнение к интриге, набор контроллеров, зарегистрированных с апреля 2023 года, включает геозону как метод ограничения ответов на IP-адреса клиентов из определенных мест. Примечательно, что наблюдаемая активность была ограничена Россией и Восточной Европой.