Decoy Dogi pahavara

Küberjulgeoleku uurijad avastasid q äsja tuvastatud pahavara Decoy Dogi põhjaliku uurimise käigus, et see kujutab endast märkimisväärset edasiminekut võrreldes selle alusega, avatud lähtekoodiga kaugjuurdepääsuga trooja Pupy RAT.

Decoy Dogil on lai valik tugevaid ja varem avaldamata võimeid, mis eristab seda keerukama ohuna. Selle tähelepanuväärsete funktsioonide hulgas on võime paigutada ohvreid ümber alternatiivsele kontrollerile, mis võimaldab pahatahtlikel ründevara taga tegutsevatel isikutel säilitada sidet ohustatud masinatega, vältides samal ajal tuvastamist pikema aja jooksul. Tähelepanuväärselt on esinenud juhtumeid, kus ohvrid on tahtmatult Decoy Dogi serveriga suhelnud juba üle aasta, rõhutades selle pahatahtliku tarkvara varguse ja vastupidavuse olemasolu.

Decoy Dogi pahavara on varustatud laiendatud komplektiga ähvardavaid funktsioone

Hiljuti tuvastatud pahavaral Decoy Dog on mitu uudset funktsiooni, mis seda eristavad. Eelkõige on Decoy Dogil nüüd võimalus käivitada kliendil suvalist Java-koodi, mis annab talle laiema valiku toiminguid.

Lisaks on pahavara hädaabikontrolleritega ühenduse loomiseks varustatud mehhanismiga, mis meenutab traditsioonilist DNS-i domeeni genereerimise algoritmi (DGA). See mehhanism hõlmab Decoy Dogi domeenide kujundamist, et vastata taasesitatud DNS-i päringutele, mis pärinevad rikutud klientidelt. Selle lähenemisviisi abil saavad Decoy Dogi taga olevad pahatahtlikud osalejad tõhusalt ümber suunata ohustatud seadmete side oma praeguselt kontrollerilt teisele. See kriitiline käsk juhendab ohustatud seadmeid katkestama side praeguse kontrolleriga ja looma kontakti uue kontrolleriga.

See keerukas tööriistakomplekt avastati 2023. aasta aprilli alguses, ajendiks anomaalse DNS-majaka tegevuse tuvastamine. See ilmutus tõi päevavalgele pahavara väga sihitud rünnakud, mis olid suunatud spetsiaalselt ettevõtete võrkudele.

Decoy Dogi pahavara taga olevad küberkurjategijad võivad sihtida kindlaid piirkondi

Decoy Dogi päritolu pole veel lõplikult kindlaks tehtud, kuid kahtlustatakse, et seda juhib valitud rahvusriikide häkkerite rühm. Need häkkerid kasutavad erinevat taktikat, vastates samal ajal sissetulevatele päringutele, mis on kooskõlas kliendisuhtluse struktuuriga, muutes selle küberjulgeoleku maastikul tugevaks ja tabamatuks ohuks.

Decoy Dog kasutab oma Command-and-Control (C2) toimingute jaoks tõhusalt domeeninimesüsteemi (DNS). Kui seade on selle pahavara poolt ohustatud, loob see DNS-päringute ja IP-aadressi vastuste kaudu side määratud kontrolleriga (serveriga), saades kontrollerilt juhiseid.

Pärast küberjulgeolekuekspertide paljastamist tegutsesid Decoy Dogi taga olevad ohutegelased kiiresti, eemaldades teatud DNS-i nimeserverid ja registreerides kiiresti uued asendusdomeenid, et tagada kaugpüsivus ja pidev kontroll. See võimaldas neil anda olemasolevad ohustatud kliendid üle uutele vastutavatele töötlejatele, näidates nende otsustavust säilitada juurdepääs oma ohvritele.

Decoy Dogi esialgne kasutuselevõtt algas 2022. aasta märtsi lõpus või aprilli alguses. Sellest ajast alates on tuvastatud veel kolm ründevara kobarat, millest igaüht juhib erinev kontroller. Siiani on tuvastatud kokku 21 Decoy Dogi domeeni. Lisaks on üks alates 2023. aasta aprillist registreeritud kontrollerite kogum oma taktikat kohandanud, rakendades geopiirde tehnikaid. See meetod piirab vastuseid klientide IP-aadressidele konkreetsete geograafiliste asukohtadega, kusjuures vaadeldav tegevus piirdub peamiselt Venemaa ja Ida-Euroopa piirkondadega.