Decoy Dog Malware

При провеждането на цялостно изследване на q новооткрития злонамерен софтуер, Decoy Dog, изследователите на киберсигурността откриха, че той представлява значителен напредък в сравнение с основата му, троянския кон с отворен код за отдалечен достъп Pupy RAT.

Кучето-примамка показва широк набор от мощни и неразкрити досега способности, което го отличава като по-сложна заплаха. Сред неговите забележителни характеристики е капацитетът за преместване на жертвите към алтернативен контролер, което позволява на злонамерени участници зад злонамерения софтуер да поддържат комуникация с компрометирани машини, като същевременно избягват откриването за продължителни периоди. Забележително е, че има случаи, в които жертвите несъзнателно са взаимодействали със сървър на Decoy Dog повече от година, което подчертава стелтността и устойчивостта на този злонамерен софтуер.

Зловреден софтуер Decoy Dog е оборудван с разширен набор от заплашителни функции

Наскоро идентифицираният зловреден софтуер, Decoy Dog, може да се похвали с няколко нови функции, които го отличават. Трябва да се отбележи, че Decoy Dog вече притежава способността да изпълнява произволен Java код на клиента, предоставяйки му по-широка гама от действия.

Освен това злонамереният софтуер е оборудван с механизъм, наподобяващ традиционен алгоритъм за генериране на DNS домейн (DGA) за свързване към аварийни контролери. Този механизъм включва проектиране на домейните на Decoy Dog, за да отговарят на възпроизведени DNS заявки, произхождащи от пробити клиенти. Чрез този подход злонамерените участници зад Decoy Dog могат ефективно да пренасочат комуникацията на компрометирани устройства от текущия им контролер към друг. Тази критична команда инструктира компрометираните устройства да прекратят комуникацията с текущия контролер и да установят контакт с нов.

Откриването на този усъвършенстван набор от инструменти се случи в началото на април 2023 г., подтикнато от откриването на аномална DNS сигнална активност. Това разкритие извади наяве силно насочените атаки на зловреден софтуер, насочени специално към корпоративни мрежи.

Киберпрестъпниците зад зловредния софтуер Decoy Dog може да са насочени към определени региони

Произходът на Decoy Dog все още не е окончателно установен, но се подозира, че се управлява от избрана група хакери от национални държави. Тези хакери използват различни тактики, докато отговарят на входящи заявки, които са в съответствие със структурата на клиентската комуникация, което го прави мощна и неуловима заплаха в пейзажа на киберсигурността.

Кучето Decoy Dog ефективно използва системата за имена на домейни (DNS) за своите командно-контролни (C2) операции. Когато дадено устройство е компрометирано от този зловреден софтуер, то установява комуникация с определен контролер (сървър) чрез DNS заявки и отговори на IP адреси, получавайки инструкции от контролера.

След като бяха разкрити от експерти по киберсигурност, участниците в заплахата зад Decoy Dog действаха бързо, като свалиха определени DNS сървъри за имена и незабавно регистрираха нови заместващи домейни, за да осигурят отдалечена устойчивост и непрекъснат контрол. Това им позволи да прехвърлят съществуващите компрометирани клиенти към новите администратори, демонстрирайки решимостта си да поддържат достъп до своите жертви.

Първоначалното внедряване на Decoy Dog датира от края на март или началото на април 2022 г. Оттогава са открити три други клъстера на зловреден софтуер, всеки управляван от различен контролер. Досега са идентифицирани общо 21 домейна на Decoy Dog. Освен това, един набор от контролери, регистрирани от април 2023 г., е адаптирал тактиката си чрез прилагане на техники за геозониране. Тази техника ограничава отговорите на клиентските IP адреси до конкретни географски местоположения, като наблюдаваната дейност е предимно ограничена до региони в Русия и Източна Европа.