誘餌狗惡意軟件 - Pupy RAT 的更新

最近，網絡安全研究人員對新發現的名為 Decoy Dog 的惡意軟件進行了徹底調查，發現它比作為其基礎的開源遠程訪問木馬 Pupy RAT 有了重大改進。

根據 Infoblox 發布的一份報告，Decoy Dog 擁有一系列強大且以前未知的功能。值得注意的是，它具有將受害者轉移到備用控制器的能力，從而能夠與受感染的機器進行持續通信並促進長時間的隱藏。令人驚訝的是，某些受害者已經與誘餌狗服務器保持活躍通信一年多了。

誘餌狗更新了新功能

在其新增功能中，Decoy Dog 可以在客戶端上執行任意 Java 代碼，並使用類似於傳統 DNS 域生成算法 (DGA) 的機制與緊急控制器建立連接。此機制可確保 Decoy Dog 域能夠有效響應來自被破壞客戶端的重播 DNS 查詢。

Infoblox 威脅情報主管 Renée Burton 博士強調，Decoy Dog 提供了 Pupy 中不具備的功能。特別值得注意的是，有一條命令指示受感染的設備停止與當前控制器通信，轉而與另一個控制器進行通信。這一發現是通過對 DNS 查詢的統計分析而實現的。

該惡意軟件的發現可以追溯到 2023 年 4 月上旬，當時 Infoblox 檢測到異常的 DNS 信標活動，發現其針對企業網絡的針對性攻擊。 “誘餌狗”的確切起源仍然籠罩在神秘之中，但它被懷疑是一群選定的民族國家黑客所為。儘管使用不同的策略，這些威脅行為者仍會響應與客戶端通信結構相匹配的入站請求。

Decoy Dog 通過利用域名系統 (DNS) 來執行其命令和控制 (C2) 操作。受損端點通過 DNS 查詢和 IP 地址響應與控制器（或服務器）通信，並在此過程中接收指令。

為了回應之前披露的信息，威脅行為者迅速調整了他們的攻擊基礎設施。他們已經關閉了某些 DNS 域名服務器並註冊了新的替換域以確保遠程持久性。