Decoy Dog Malware

Nakon provođenja sveobuhvatnog ispitivanja q novootkrivenog zlonamjernog softvera, Decoy Dog, istraživači kibernetičke sigurnosti otkrili su da on predstavlja značajan napredak u usporedbi sa svojim temeljem, trojancem otvorenog koda za udaljeni pristup Pupy RAT.

Decoy Dog pokazuje široku lepezu snažnih i dosad neotkrivenih sposobnosti, što ga izdvaja kao sofisticiraniju prijetnju. Među njegovim izvanrednim značajkama je sposobnost premještanja žrtava na alternativni kontroler, omogućavajući zlonamjernim akterima koji stoje iza zlonamjernog softvera da održavaju komunikaciju s kompromitiranim strojevima dok izbjegavaju otkrivanje tijekom duljeg trajanja. Zanimljivo, bilo je slučajeva u kojima su žrtve nesvjesno komunicirale s poslužiteljem Decoy Dog više od godinu dana, naglašavajući tajnost i otpornost ovog zlonamjernog softvera.

Zlonamjerni softver Decoy Dog opremljen je proširenim skupom prijetećih značajki

Nedavno identificirani zlonamjerni softver, Decoy Dog, može se pohvaliti s nekoliko novih funkcija koje ga izdvajaju. Naime, Decoy Dog sada posjeduje mogućnost izvršavanja proizvoljnog Java koda na klijentu, dajući mu opsežniji raspon radnji.

Uz to, zlonamjerni je softver opremljen mehanizmom koji podsjeća na tradicionalni algoritam za generiranje DNS domene (DGA) za povezivanje s kontrolerima za hitne slučajeve. Ovaj mehanizam uključuje inženjering domena Decoy Dog da odgovore na ponovljene DNS upite koji potječu od probijenih klijenata. Kroz ovaj pristup, zlonamjerni akteri koji stoje iza Decoy Doga mogu učinkovito preusmjeriti komunikaciju kompromitiranih uređaja s njihovog trenutnog upravljača na drugi. Ova kritična naredba upućuje kompromitirane uređaje da prekinu komunikaciju s trenutnim kontrolerom i uspostave kontakt s novim.

Otkriće ovog sofisticiranog skupa alata dogodilo se početkom travnja 2023., potaknuto otkrivanjem nenormalne aktivnosti praćenja DNS-a. Ovo otkriće iznijelo je na vidjelo vrlo ciljane napade zlonamjernog softvera koji su posebno usmjereni na poslovne mreže.

Cyberkriminalci koji stoje iza zlonamjernog softvera Decoy Dog mogu ciljati određene regije

Podrijetlo Decoy Doga još nije definitivno utvrđeno, ali se sumnja da njime upravlja odabrana skupina hakera iz nacionalne države. Ovi hakeri koriste različite taktike dok odgovaraju na dolazne zahtjeve koji su u skladu sa strukturom klijentske komunikacije, čineći ga moćnom i nedostižnom prijetnjom u krajoliku kibernetičke sigurnosti.

Decoy Dog učinkovito koristi sustav naziva domene (DNS) za svoje operacije zapovijedanja i kontrole (C2). Kada je uređaj ugrožen ovim zlonamjernim softverom, on uspostavlja komunikaciju s određenim kontrolerom (poslužiteljem) putem DNS upita i odgovora na IP adresu, primajući upute od kontrolera.

Nakon što su ih razotkrili stručnjaci za kibernetičku sigurnost, akteri prijetnje koji stoje iza Decoy Doga brzo su djelovali tako što su srušili određene DNS poslužitelje imena i odmah registrirali nove zamjenske domene kako bi osigurali postojanost na daljinu i kontinuiranu kontrolu. To im je omogućilo prijenos postojećih kompromitiranih klijenata na nove kontrolore, pokazujući svoju odlučnost da zadrže pristup svojim žrtvama.

Početna implementacija Decoy Doga potječe iz kraja ožujka ili početka travnja 2022. Od tada su otkrivena tri druga skupa zlonamjernog softvera, a svakim je upravljao drugi kontroler. Do sada je identificirana ukupno 21 domena Decoy Doga. Štoviše, jedan skup kontrolora registriran od travnja 2023. prilagodio je svoju taktiku implementacijom tehnika geofencinga. Ova tehnika ograničava odgovore na IP adrese klijenata na određene geografske lokacije, s promatranom aktivnošću pretežno ograničenom na regije u Rusiji i istočnoj Europi.