Decoy Dog Malware

Po provedení komplexního zkoumání q nově identifikovaného malwaru, Decoy Dog, výzkumníci kybernetické bezpečnosti odhalili, že představuje značný pokrok ve srovnání se svým základem, open-source trojanem Pupy RAT pro vzdálený přístup.

Decoy Dog vykazuje rozsáhlou řadu silných a dříve nezveřejněných schopností, které jej odlišují jako sofistikovanější hrozbu. Mezi jeho pozoruhodné vlastnosti patří schopnost přemístit oběti do alternativního ovladače, což umožňuje špatně smýšlejícím aktérům za malwarem udržovat komunikaci s kompromitovanými stroji a zároveň se vyhýbat detekci po delší dobu. Je pozoruhodné, že se vyskytly případy, kdy oběti nevědomky interagovaly se serverem Decoy Dog déle než rok, což zdůrazňovalo utajení a odolnost tohoto škodlivého softwaru.

Malware Decoy Dog je vybaven rozšířenou sadou ohrožujících funkcí

Nedávno identifikovaný malware, Decoy Dog, se může pochlubit několika novými funkcemi, které jej odlišují. Pozoruhodné je, že Decoy Dog má nyní schopnost spustit libovolný Java kód na klientovi, což mu poskytuje širší rozsah akcí.

Malware byl navíc vybaven mechanismem připomínajícím tradiční algoritmus generování domén DNS (DGA) pro připojení k nouzovým řadičům. Tento mechanismus zahrnuje vytvoření domén Decoy Dog tak, aby odpovídaly na opakované dotazy DNS pocházející od narušených klientů. Prostřednictvím tohoto přístupu mohou zákeřní aktéři za Decoy Dogem efektivně přesměrovat komunikaci kompromitovaných zařízení z jejich současného ovladače na jiný. Tento kritický příkaz instruuje napadená zařízení, aby ukončila komunikaci s aktuálním ovladačem a navázala kontakt s novým.

K objevu této sofistikované sady nástrojů došlo počátkem dubna 2023, což bylo vyvoláno detekcí anomální aktivity DNS beaconing. Toto odhalení odhalilo vysoce cílené útoky malwaru specificky zaměřené na podnikové sítě.

Kyberzločinci za malwarem Decoy Dog mohou cílit na konkrétní oblasti

Původ Decoy Dog ještě nebyl definitivně stanoven, ale existuje podezření, že jej provozuje vybraná skupina hackerů z národního státu. Tito hackeři používají různé taktiky při reagování na příchozí požadavky, které jsou v souladu se strukturou klientské komunikace, což z ní dělá silnou a nepolapitelnou hrozbu v prostředí kybernetické bezpečnosti.

Decoy Dog efektivně využívá systém doménových jmen (DNS) pro své operace Command-and-Control (C2). Když je zařízení napadeno tímto malwarem, naváže komunikaci s určeným řadičem (serverem) prostřednictvím dotazů DNS a odpovědí na IP adresu a přijímá pokyny od řadiče.

Poté, co byli odhaleni odborníky na kybernetickou bezpečnost, aktéři hrozeb za Decoy Dogem rychle zasáhli tím, že odstranili určité DNS nameservery a okamžitě zaregistrovali nové náhradní domény, aby byla zajištěna vzdálená perzistence a nepřetržitá kontrola. To jim umožnilo převést stávající ohrožené klienty na nové správce, což prokázalo jejich odhodlání zachovat přístup ke svým obětem.

Počáteční nasazení Decoy Dog se datuje koncem března nebo začátkem dubna 2022. Od té doby byly detekovány další tři shluky malwaru, každý provozovaný jiným ovladačem. Dosud bylo identifikováno celkem 21 domén Decoy Dog. Navíc jedna skupina kontrolorů registrovaná od dubna 2023 upravila svou taktiku implementací technik geofencingu. Tato technika omezuje odpovědi na IP adresy klientů na konkrétní geografická místa, přičemž pozorovaná aktivita je převážně omezena na regiony v Rusku a východní Evropě.