诱饵狗恶意软件 - Pupy RAT 的更新

最近，网络安全研究人员对新发现的名为 Decoy Dog 的恶意软件进行了彻底调查，发现它比作为其基础的开源远程访问木马 Pupy RAT 有了重大改进。

根据 Infoblox 发布的一份报告，Decoy Dog 拥有一系列强大且以前未知的功能。值得注意的是，它具有将受害者转移到备用控制器的能力，从而能够与受感染的机器进行持续通信并促进长时间的隐藏。令人惊讶的是，某些受害者已经与诱饵狗服务器保持活跃通信一年多了。

诱饵狗更新了新功能

在其新增功能中，Decoy Dog 可以在客户端上执行任意 Java 代码，并使用类似于传统 DNS 域生成算法 (DGA) 的机制与紧急控制器建立连接。此机制可确保 Decoy Dog 域能够有效响应来自被破坏客户端的重播 DNS 查询。

Infoblox 威胁情报主管 Renée Burton 博士强调，Decoy Dog 提供了 Pupy 中不具备的功能。特别值得注意的是，有一条命令指示受感染的设备停止与当前控制器通信，转而与另一个控制器进行通信。这一发现是通过对 DNS 查询的统计分析而实现的。

该恶意软件的发现可以追溯到 2023 年 4 月上旬，当时 Infoblox 检测到异常的 DNS 信标活动，发现其针对企业网络的针对性攻击。 “诱饵狗”的确切起源仍然笼罩在神秘之中，但它被怀疑是一群选定的民族国家黑客所为。尽管使用不同的策略，这些威胁行为者仍会响应与客户端通信结构相匹配的入站请求。

Decoy Dog 通过利用域名系统 (DNS) 来执行其命令和控制 (C2) 操作。受损端点通过 DNS 查询和 IP 地址响应与控制器（或服务器）通信，并在此过程中接收指令。

为了回应之前披露的信息，威胁行为者迅速调整了他们的攻击基础设施。他们已经关闭了某些 DNS 域名服务器并注册了新的替换域以确保远程持久性。