Programari maliciós Decoy Dog

Després de realitzar un examen exhaustiu del programari maliciós recentment identificat, el Decoy Dog, els investigadors de ciberseguretat han descobert que representa un avenç considerable en comparació amb la seva fundació, el troià d'accés remot de codi obert Pupy RAT.

El Decoy Dog presenta una àmplia gamma de capacitats potents i no revelades anteriorment, que el diferencian com una amenaça més sofisticada. Entre les seves característiques destacables hi ha la capacitat de traslladar les víctimes a un controlador alternatiu, que permet als actors malintencionats que hi ha darrere del programari maliciós mantenir la comunicació amb màquines compromeses mentre eviten la detecció durant llargues durades. Notablement, hi ha hagut casos en què les víctimes han interactuat sense voler amb un servidor Decoy Dog durant més d'un any, posant de manifest el sigil i la resistència d'aquest programari maliciós.

El programari maliciós Decoy Dog està equipat amb un conjunt ampliat de funcions amenaçadores

El programari maliciós identificat recentment, Decoy Dog, compta amb diverses funcionalitats noves que el diferencien. En particular, el Decoy Dog ara té la capacitat d'executar codi Java arbitrari al client, atorgant-li una gamma d'accions més àmplia.

A més, el programari maliciós ha estat equipat amb un mecanisme semblant a un algorisme de generació de dominis DNS (DGA) tradicional per connectar-se als controladors d'emergència. Aquest mecanisme consisteix a dissenyar els dominis Decoy Dog per respondre a les consultes de DNS reproduïdes procedents de clients violats. Mitjançant aquest enfocament, els actors maliciosos darrere del Decoy Dog poden redirigir de manera efectiva la comunicació dels dispositius compromesos del seu controlador actual a un altre. Aquesta ordre crítica indica als dispositius compromesos que deixin de comunicar-se amb el controlador actual i que estableixin contacte amb un de nou.

El descobriment d'aquest sofisticat conjunt d'eines es va produir a principis d'abril de 2023, motivat per la detecció d'una activitat anòmala de balises DNS. Aquesta revelació va posar de manifest els atacs altament dirigits del programari maliciós dirigits específicament a les xarxes empresarials.

Els ciberdelinqüents darrere del programari maliciós Decoy Dog poden dirigir-se a regions específiques

Els orígens del Decoy Dog encara no s'han establert definitivament, però se sospita que està operat per un selecte grup de pirates informàtics de l'estat-nació. Aquests pirates informàtics utilitzen tàctiques diferents mentre responen a les sol·licituds entrants que s'alineen amb l'estructura de la comunicació amb el client, la qual cosa la converteix en una amenaça potent i esquiva en el panorama de la ciberseguretat.

El Decoy Dog utilitza eficaçment el sistema de noms de domini (DNS) per a les seves operacions de comandament i control (C2). Quan un dispositiu es veu compromès per aquest programari maliciós, estableix la comunicació amb un controlador designat (servidor) mitjançant consultes DNS i respostes d'adreces IP, rebent instruccions del controlador.

Després de ser exposats per experts en ciberseguretat, els actors de l'amenaça darrere del Decoy Dog van actuar ràpidament eliminant determinats servidors de noms DNS i registrant ràpidament nous dominis de substitució per garantir la persistència remota i el control continuat. Això els va permetre transferir els clients compromesos existents als nous controladors, demostrant la seva determinació de mantenir l'accés a les seves víctimes.

El desplegament inicial del Decoy Dog es remunta a finals de març o principis d'abril de 2022. Des d'aleshores, s'han detectat altres tres grups de programari maliciós, cadascun operat per un controlador diferent. Fins ara, s'han identificat un total de 21 dominis Decoy Dog. A més, un conjunt de controladors registrats des de l'abril de 2023 ha adaptat les seves tàctiques mitjançant la implementació de tècniques de geofencing. Aquesta tècnica restringeix les respostes a les adreces IP dels clients a ubicacions geogràfiques específiques, amb l'activitat observada predominantment limitada a regions de Rússia i Europa de l'Est.