Decoy Dog Malware - en uppdatering av Pupy RAT

Nyligen har cybersäkerhetsforskare genomfört en grundlig undersökning av en nyupptäckt skadlig programvara som heter Decoy Dog och fann att den representerar en betydande förbättring jämfört med Pupy RAT, en trojan med öppen källkod för fjärråtkomst som fungerade som dess grund.

Enligt en rapport från Infoblox har Decoy Dog en rad kraftfulla och tidigare okända funktioner. Noterbart har den förmågan att överföra offer till en alternativ kontrollant, vilket möjliggör pågående kommunikation med komprometterade maskiner och underlättar längre perioder av döljande. Förvånande nog har vissa offer upprätthållit aktiv kommunikation med en Decoy Dog-server i över ett år.

Decoy Dog uppdaterad med nya funktioner

Bland dess nyligen tillagda funktioner kan Decoy Dog exekvera godtycklig Java-kod på klienten och upprätta förbindelser med nödkontroller med hjälp av en mekanism som påminner om den traditionella DNS-domängenereringsalgoritmen (DGA). Denna mekanism säkerställer att Decoy Dog-domäner effektivt kan svara på återuppspelade DNS-förfrågningar från klienter som har brutits.

Dr. Renée Burton, chef för hotintelligens på Infoblox, betonade att Decoy Dog erbjuder funktioner som inte fanns i Pupy. Särskilt anmärkningsvärt är ett kommando som styr den komprometterade enheten att upphöra med kommunikationen med den aktuella styrenheten och istället koppla in sig på en annan. Denna upptäckt möjliggjordes genom statistisk analys av DNS-frågorna.

Upptäckten av skadlig programvara går tillbaka till början av april 2023, då Infoblox upptäckte ovanlig DNS-beaconing-aktivitet och avslöjade dess riktade attacker mot företagsnätverk. Det exakta ursprunget till Decoy Dog är fortfarande höljt i mysterium, men det misstänks vara ett verk av en utvald grupp nationalstatshackare. Trots att de använder distinkt taktik, svarar dessa hotaktörer på inkommande förfrågningar som matchar klienternas kommunikationsstruktur.

Decoy Dog fungerar genom att utnyttja domännamnssystemet (DNS) för att utföra sina kommando-och-kontrolloperationer (C2). Kompromissade slutpunkter kommunicerar med en styrenhet (eller server) via DNS-frågor och IP-adresssvar och får instruktioner i processen.

Som svar på tidigare avslöjanden har hotaktörerna snabbt anpassat sin attackinfrastruktur. De har tagit ner vissa DNS-namnservrar och registrerat nya ersättningsdomäner för att säkerställa fjärrbeständighet.

Decoy Dog lanseras för första gången till 2022

Den första kända instansen av Decoy Dog-distribution går tillbaka till slutet av mars eller början av april 2022, följt av upptäckten av tre andra kluster under kontroll av olika kontroller. Hittills har totalt 21 Decoy Dog-domäner identifierats.

Utöver intrigen har en uppsättning kontroller registrerade sedan april 2023 införlivat geofencing som en teknik för att begränsa svar på klientens IP-adresser från specifika platser. Noterbart har observerad aktivitet varit begränsad till Ryssland och Östeuropa.