بدافزار Decoy Dog

محققان امنیت سایبری پس از انجام یک بررسی جامع از بدافزار جدید شناسایی‌شده q، به نام Decoy Dog، کشف کردند که این بدافزار در مقایسه با پایه‌اش، یعنی منبع باز تروجان دسترسی از راه دور Pupy RAT، پیشرفت قابل‌توجهی را نشان می‌دهد.

سگ گول زن مجموعه گسترده ای از قابلیت های قوی و قبلاً ناشناخته را به نمایش می گذارد و آن را به عنوان یک تهدید پیچیده تر متمایز می کند. از جمله ویژگی‌های قابل توجه آن، ظرفیت جابه‌جایی قربانیان به یک کنترل‌کننده جایگزین است که به بازیگران بدافزار پشت این بدافزار اجازه می‌دهد تا ارتباط خود را با ماشین‌های آسیب‌دیده حفظ کنند و در عین حال از شناسایی برای مدت طولانی اجتناب کنند. به طور قابل توجهی، مواردی وجود داشته است که قربانیان به طور ناخواسته با سرور Decoy Dog برای بیش از یک سال تعامل داشته اند، که مخفی بودن و انعطاف پذیری این نرم افزار مخرب را برجسته می کند.

بدافزار Decoy Dog به مجموعه گسترده ای از ویژگی های تهدیدآمیز مجهز شده است

بدافزار اخیرا شناسایی شده، Decoy Dog، دارای چندین قابلیت جدید است که آن را متمایز می کند. قابل ذکر است که Decoy Dog اکنون دارای قابلیت اجرای کدهای جاوا دلخواه بر روی کلاینت است که طیف وسیع تری از اقدامات را به آن می دهد.

علاوه بر این، این بدافزار به مکانیزمی شبیه الگوریتم سنتی تولید دامنه DNS (DGA) برای اتصال به کنترل‌کننده‌های اضطراری مجهز شده است. این مکانیسم شامل مهندسی دامنه‌های Decoy Dog برای پاسخ به پرسش‌های DNS بازپخش شده از کلاینت‌های نفوذ شده است. از طریق این رویکرد، بازیگران مخرب پشت Decoy Dog می‌توانند به طور موثری ارتباط دستگاه‌های آسیب‌دیده را از کنترل‌کننده فعلی خود به دیگری تغییر مسیر دهند. این دستور حیاتی به دستگاه های در معرض خطر دستور می دهد که ارتباط خود را با کنترل کننده فعلی قطع کنند و با کنترل کننده جدید ارتباط برقرار کنند.

کشف این جعبه ابزار پیچیده در اوایل آوریل 2023 به دلیل شناسایی فعالیت غیرعادی نشانگر DNS رخ داد. این افشاگری حملات بسیار هدفمند این بدافزار را که به طور خاص شبکه های سازمانی را هدف قرار داده بودند، آشکار کرد.

مجرمان سایبری پشت بدافزار Decoy Dog ممکن است مناطق خاصی را هدف قرار دهند

منشاء سگ دکوی هنوز به طور قطعی مشخص نشده است، اما گمان می رود که توسط گروهی منتخب از هکرهای دولت ملی اداره شود. این هکرها از تاکتیک‌های متمایزی استفاده می‌کنند در حالی که به درخواست‌های ورودی پاسخ می‌دهند که با ساختار ارتباط مشتری همسو می‌شوند و آن را به تهدیدی قوی و گریزان در چشم‌انداز امنیت سایبری تبدیل می‌کنند.

Dog Decoy به طور موثر از سیستم نام دامنه (DNS) برای عملیات فرماندهی و کنترل (C2) خود استفاده می کند. هنگامی که دستگاهی توسط این بدافزار در معرض خطر قرار می‌گیرد، از طریق پرسش‌های DNS و پاسخ‌های آدرس IP، با دریافت دستورالعمل‌ها از کنترل‌کننده، با یک کنترل‌کننده (سرور) تعیین‌شده ارتباط برقرار می‌کند.

پس از افشا شدن توسط کارشناسان امنیت سایبری، عوامل تهدید در پشت Dog Dog با حذف برخی از سرورهای نام DNS و ثبت سریع دامنه‌های جایگزین جدید برای اطمینان از تداوم از راه دور و کنترل مداوم، به سرعت وارد عمل شدند. این به آنها اجازه داد تا مشتریان در معرض خطر موجود را به کنترل کننده های جدید منتقل کنند و عزم آنها را برای حفظ دسترسی به قربانیان خود نشان دهد.

استقرار اولیه Decoy Dog به اواخر مارس یا اوایل آوریل 2022 بازمی‌گردد. از آن زمان، سه خوشه دیگر از بدافزار شناسایی شده‌اند که هر کدام توسط کنترل‌کننده‌ای متفاوت اداره می‌شوند. تاکنون در مجموع 21 دامنه Decoy Dog شناسایی شده است. علاوه بر این، یک مجموعه از کنترل‌کننده‌های ثبت‌شده از آوریل 2023 تاکتیک‌های خود را با اجرای تکنیک‌های geofencing تطبیق داده‌اند. این تکنیک پاسخ‌ها به آدرس‌های IP مشتری را به مکان‌های جغرافیایی خاص محدود می‌کند و فعالیت مشاهده‌شده عمدتاً به مناطقی در روسیه و اروپای شرقی محدود می‌شود.