תוכנה זדונית של כלב פיתוי

לאחר ביצוע בדיקה מקיפה של תוכנות זדוניות שזוהו לאחרונה, הכלב Decoy Dog, חוקרי אבטחת סייבר חשפו כי הוא מהווה התקדמות ניכרת בהשוואה לבסיסו, קוד פתוח גישה מרחוק הטרויאני Pupy RAT.

ה-Decoy Dog מציג מגוון רחב של יכולות עוצמתיות ולא נחשפו בעבר, מה שמייחד אותו כאיום מתוחכם יותר. בין המאפיינים המדהימים שלו היא היכולת להעביר קורבנות לבקר חלופי, מה שמאפשר לשחקנים חסרי אופקים מאחורי התוכנה הזדונית לשמור על תקשורת עם מכונות שנפגעו תוך התחמקות מזיהוי למשך פרקי זמן ממושכים. למרבה הפלא, היו מקרים שבהם קורבנות יצרו אינטראקציה בלי משים עם שרת Decoy Dog במשך יותר משנה, והדגישו את החסכנות והחוסן של התוכנה הזדונית הזו.

תוכנת Decoy Dog זדונית מצוידת בסט מורחב של תכונות מאיימות

התוכנה הזדונית שזוהתה לאחרונה, Decoy Dog, מתהדרת בכמה פונקציות חדשות שמבדילות אותה. יש לציין כי ל-Decoy Dog יש כעת את היכולת לבצע קוד Java שרירותי על הלקוח, מה שמעניק לו מגוון רחב יותר של פעולות.

בנוסף, התוכנה הזדונית צוידה במנגנון הדומה לאלגוריתם מסורתי של יצירת תחום DNS (DGA) לחיבור לבקרי חירום. מנגנון זה כולל הנדסת דומיינים של Decoy Dog כדי להגיב לשאילתות DNS שהושמעו מחדש שמקורן בלקוחות שנפרצו. באמצעות גישה זו, השחקנים הזדוניים מאחורי ה-Decoy Dog יכולים לנתב ביעילות את התקשורת של מכשירים שנפגעו מהבקר הנוכחי שלהם לאחר. פקודה קריטית זו מורה למכשירים שנפגעו להפסיק את התקשורת עם הבקר הנוכחי וליצור קשר עם אחד חדש.

גילוי ערכת הכלים המתוחכמת הזו התרחש בתחילת אפריל 2023, בעקבות זיהוי פעילות חריגה של שיווי DNS. גילוי זה העלה לאור את ההתקפות הממוקדות ביותר של התוכנה הזדונית המכוונות במיוחד לרשתות ארגוניות.

פושעי סייבר שמאחורי תוכנת ה-Decoy Dog Malware עשויים למקד לאזורים ספציפיים

מקורותיו של כלב הדמייה עדיין לא נקבעו באופן סופי, אך על פי החשד הוא מופעל על ידי קבוצה נבחרת של האקרים ממדינות לאום. האקרים אלה מפעילים טקטיקות ברורות בזמן שהם מגיבים לבקשות נכנסות המתאימות למבנה התקשורת של הלקוח, מה שהופך אותה לאיום חזק וחמקמק בנוף אבטחת הסייבר.

ה-Decoy Dog משתמש ביעילות במערכת שמות הדומיין (DNS) עבור פעולות הפיקוד והבקרה שלו (C2). כאשר מכשיר נפגע על ידי תוכנה זדונית זו, הוא יוצר תקשורת עם בקר ייעודי (שרת) באמצעות שאילתות DNS ותגובות כתובת IP, תוך קבלת הוראות מהבקר.

לאחר שנחשפו על ידי מומחי אבטחת סייבר, שחקני האיום שמאחורי ה-Decoy Dog פעלו במהירות על ידי הסרת שרתי שמות מסוימים של DNS ורישום מיידי של דומיינים חלופיים חדשים כדי להבטיח התמדה מרחוק והמשך שליטה. זה איפשר להם להעביר את הלקוחות הקיימים שנפגעו לבקרים החדשים, מה שמוכיח את נחישותם לשמור על גישה לקורבנותיהם.

הפריסה הראשונית של ה-Decoy Dog נמשכת עד סוף מרץ או תחילת אפריל 2022. מאז, זוהו שלושה אשכולות נוספים של תוכנת זדונית, שכל אחד מהם מופעל על ידי בקר אחר. עד כה זוהו בסך הכל 21 דומיינים של Decoy Dog. יתרה מכך, קבוצה אחת של בקרים שנרשמה מאז אפריל 2023 התאימה את הטקטיקה שלה על ידי הטמעת טכניקות גיאופנסינג. טכניקה זו מגבילה תגובות לכתובות IP של לקוחות למיקומים גיאוגרפיים ספציפיים, כאשר הפעילות הנצפית מוגבלת בעיקר לאזורים ברוסיה ובמזרח אירופה.