بدافزار Decoy Dog
محققان امنیت سایبری پس از انجام یک بررسی جامع از بدافزار جدید شناساییشده q، به نام Decoy Dog، کشف کردند که این بدافزار در مقایسه با پایهاش، یعنی منبع باز تروجان دسترسی از راه دور Pupy RAT، پیشرفت قابلتوجهی را نشان میدهد.
سگ گول زن مجموعه گسترده ای از قابلیت های قوی و قبلاً ناشناخته را به نمایش می گذارد و آن را به عنوان یک تهدید پیچیده تر متمایز می کند. از جمله ویژگیهای قابل توجه آن، ظرفیت جابهجایی قربانیان به یک کنترلکننده جایگزین است که به بازیگران بدافزار پشت این بدافزار اجازه میدهد تا ارتباط خود را با ماشینهای آسیبدیده حفظ کنند و در عین حال از شناسایی برای مدت طولانی اجتناب کنند. به طور قابل توجهی، مواردی وجود داشته است که قربانیان به طور ناخواسته با سرور Decoy Dog برای بیش از یک سال تعامل داشته اند، که مخفی بودن و انعطاف پذیری این نرم افزار مخرب را برجسته می کند.
بدافزار Decoy Dog به مجموعه گسترده ای از ویژگی های تهدیدآمیز مجهز شده است
بدافزار اخیرا شناسایی شده، Decoy Dog، دارای چندین قابلیت جدید است که آن را متمایز می کند. قابل ذکر است که Decoy Dog اکنون دارای قابلیت اجرای کدهای جاوا دلخواه بر روی کلاینت است که طیف وسیع تری از اقدامات را به آن می دهد.
علاوه بر این، این بدافزار به مکانیزمی شبیه الگوریتم سنتی تولید دامنه DNS (DGA) برای اتصال به کنترلکنندههای اضطراری مجهز شده است. این مکانیسم شامل مهندسی دامنههای Decoy Dog برای پاسخ به پرسشهای DNS بازپخش شده از کلاینتهای نفوذ شده است. از طریق این رویکرد، بازیگران مخرب پشت Decoy Dog میتوانند به طور موثری ارتباط دستگاههای آسیبدیده را از کنترلکننده فعلی خود به دیگری تغییر مسیر دهند. این دستور حیاتی به دستگاه های در معرض خطر دستور می دهد که ارتباط خود را با کنترل کننده فعلی قطع کنند و با کنترل کننده جدید ارتباط برقرار کنند.
کشف این جعبه ابزار پیچیده در اوایل آوریل 2023 به دلیل شناسایی فعالیت غیرعادی نشانگر DNS رخ داد. این افشاگری حملات بسیار هدفمند این بدافزار را که به طور خاص شبکه های سازمانی را هدف قرار داده بودند، آشکار کرد.
مجرمان سایبری پشت بدافزار Decoy Dog ممکن است مناطق خاصی را هدف قرار دهند
منشاء سگ دکوی هنوز به طور قطعی مشخص نشده است، اما گمان می رود که توسط گروهی منتخب از هکرهای دولت ملی اداره شود. این هکرها از تاکتیکهای متمایزی استفاده میکنند در حالی که به درخواستهای ورودی پاسخ میدهند که با ساختار ارتباط مشتری همسو میشوند و آن را به تهدیدی قوی و گریزان در چشمانداز امنیت سایبری تبدیل میکنند.
Dog Decoy به طور موثر از سیستم نام دامنه (DNS) برای عملیات فرماندهی و کنترل (C2) خود استفاده می کند. هنگامی که دستگاهی توسط این بدافزار در معرض خطر قرار میگیرد، از طریق پرسشهای DNS و پاسخهای آدرس IP، با دریافت دستورالعملها از کنترلکننده، با یک کنترلکننده (سرور) تعیینشده ارتباط برقرار میکند.
پس از افشا شدن توسط کارشناسان امنیت سایبری، عوامل تهدید در پشت Dog Dog با حذف برخی از سرورهای نام DNS و ثبت سریع دامنههای جایگزین جدید برای اطمینان از تداوم از راه دور و کنترل مداوم، به سرعت وارد عمل شدند. این به آنها اجازه داد تا مشتریان در معرض خطر موجود را به کنترل کننده های جدید منتقل کنند و عزم آنها را برای حفظ دسترسی به قربانیان خود نشان دهد.
استقرار اولیه Decoy Dog به اواخر مارس یا اوایل آوریل 2022 بازمیگردد. از آن زمان، سه خوشه دیگر از بدافزار شناسایی شدهاند که هر کدام توسط کنترلکنندهای متفاوت اداره میشوند. تاکنون در مجموع 21 دامنه Decoy Dog شناسایی شده است. علاوه بر این، یک مجموعه از کنترلکنندههای ثبتشده از آوریل 2023 تاکتیکهای خود را با اجرای تکنیکهای geofencing تطبیق دادهاند. این تکنیک پاسخها به آدرسهای IP مشتری را به مکانهای جغرافیایی خاص محدود میکند و فعالیت مشاهدهشده عمدتاً به مناطقی در روسیه و اروپای شرقی محدود میشود.