شرك الكلب الخبيث

عند إجراء فحص شامل للبرامج الضارة التي تم تحديدها حديثًا ، اكتشف باحثو الأمن السيبراني ، Decoy Dog ، أنه يمثل تقدمًا كبيرًا مقارنةً بتأسيسه ، وهو برنامج طروادة مفتوح المصدر للوصول عن بُعد.

يعرض Decoy Dog مجموعة واسعة من القدرات القوية والتي لم يتم الكشف عنها سابقًا ، مما يميزه عن كونه تهديدًا أكثر تعقيدًا. من بين ميزاته الرائعة القدرة على نقل الضحايا إلى وحدة تحكم بديلة ، مما يمكّن الجهات الفاعلة سيئة التفكير وراء البرمجيات الخبيثة من الحفاظ على التواصل مع الأجهزة المخترقة مع تجنب الاكتشاف لفترات طويلة. من اللافت للنظر أنه كانت هناك حالات تفاعل فيها الضحايا عن غير قصد مع خادم Decoy Dog لأكثر من عام ، مما سلط الضوء على خلسة ومرونة هذا البرنامج الضار.

تم تجهيز برنامج Decoy Dog Malware بمجموعة موسعة من ميزات التهديد

يتميز البرنامج الخبيث الذي تم تحديده مؤخرًا ، Decoy Dog ، بالعديد من الوظائف الجديدة التي تميزه. والجدير بالذكر أن Decoy Dog يمتلك الآن القدرة على تنفيذ تعليمات Java البرمجية التعسفية على العميل ، مما يمنحه نطاقًا أكثر شمولاً من الإجراءات.

بالإضافة إلى ذلك ، تم تجهيز البرنامج الضار بآلية تشبه خوارزمية إنشاء مجال DNS التقليدية (DGA) للاتصال بوحدات التحكم في حالات الطوارئ. تتضمن هذه الآلية هندسة مجالات Decoy Dog للرد على استفسارات DNS التي يتم إعادة عرضها والتي تنشأ من العملاء المخترقين. من خلال هذا النهج ، يمكن للجهات الخبيثة وراء Decoy Dog إعادة توجيه اتصال الأجهزة المخترقة من وحدة التحكم الحالية إلى أخرى. يوجه هذا الأمر الهام الأجهزة المخترقة إلى وقف الاتصال بوحدة التحكم الحالية وإنشاء اتصال بوحدة تحكم جديدة.

تم اكتشاف مجموعة الأدوات المعقدة هذه في أوائل أبريل 2023 ، مدفوعةً باكتشاف نشاط إشارات DNS الشاذ. سلط هذا الكشف الضوء على هجمات البرمجيات الخبيثة شديدة الاستهداف والتي تستهدف بشكل خاص شبكات المؤسسات.

قد يستهدف مجرمو الإنترنت الذين يقفون وراء البرنامج الخبيث في شرك الكلاب مناطق معينة

لم يتم تحديد أصول Decoy Dog بشكل نهائي بعد ، ولكن يُشتبه في أنه يتم تشغيله بواسطة مجموعة مختارة من قراصنة الدولة القومية. يستخدم هؤلاء المتسللون تكتيكات متميزة أثناء الاستجابة للطلبات الواردة التي تتوافق مع هيكل اتصال العميل ، مما يجعله تهديدًا قويًا ومراوغًا في مشهد الأمن السيبراني.

يستخدم Decoy Dog بشكل فعال نظام اسم المجال (DNS) لعمليات القيادة والتحكم (C2). عندما يتم اختراق الجهاز بواسطة هذا البرنامج الضار ، فإنه ينشئ اتصالاً مع وحدة تحكم معينة (خادم) من خلال استعلامات DNS والردود على عنوان IP ، وتلقي التعليمات من وحدة التحكم.

بعد الكشف عنهم من قبل خبراء الأمن السيبراني ، تصرفت الجهات الفاعلة في التهديد وراء Decoy Dog بسرعة من خلال إزالة بعض خوادم أسماء DNS وتسجيل مجالات بديلة جديدة على الفور لضمان الاستمرارية عن بُعد والتحكم المستمر. سمح لهم ذلك بنقل العملاء المعرضين للخطر الحاليين إلى وحدات التحكم الجديدة ، مما يدل على تصميمهم على الحفاظ على الوصول إلى ضحاياهم.

يعود النشر الأولي لـ Decoy Dog إلى أواخر مارس أو أوائل أبريل 2022. منذ ذلك الحين ، تم اكتشاف ثلاث مجموعات أخرى من البرامج الضارة ، كل منها يعمل بواسطة وحدة تحكم مختلفة. حتى الآن ، تم تحديد ما مجموعه 21 مجالًا لـ Decoy Dog. علاوة على ذلك ، قامت مجموعة واحدة من وحدات التحكم المسجلة منذ أبريل 2023 بتكييف تكتيكاتها من خلال تطبيق تقنيات تحديد المواقع الجغرافية. تعمل هذه التقنية على تقييد الاستجابات لعناوين IP الخاصة بالعميل في مواقع جغرافية محددة ، مع النشاط الملحوظ الذي يقتصر في الغالب على مناطق في روسيا وأوروبا الشرقية.