Decoy Dog Malware

Az újonnan azonosított kártevő, a Decoy Dog átfogó vizsgálata során a kiberbiztonsági kutatók rájöttek, hogy ez jelentős előrelépést jelent alapjához, a nyílt forráskódú távoli hozzáférésű trójai Pupy RAT-hoz képest.

A Decoy Dog erőteljes és korábban fel nem tárt képességek széles skáláját mutatja be, ami kifinomultabb fenyegetésként különbözteti meg. Figyelemre méltó jellemzői közé tartozik az a képesség, hogy az áldozatokat egy alternatív vezérlőre helyezze át, lehetővé téve a rosszindulatú program mögött álló rosszindulatú szereplők számára, hogy fenntartsák a kommunikációt a feltört gépekkel, miközben hosszabb ideig elkerülik az észlelést. Figyelemre méltó, hogy voltak olyan esetek, amikor az áldozatok akaratlanul is kapcsolatba léptek egy Decoy Dog szerverrel több mint egy éven keresztül, ami rávilágított ennek a rosszindulatú szoftvernek a rejtettségére és rugalmasságára.

A Decoy Dog Malware fenyegető funkciók kibővített készletével van felszerelve

A nemrég azonosított rosszindulatú program, a Decoy Dog számos új funkcióval büszkélkedhet, amelyek megkülönböztetik. Nevezetesen, a Decoy Dog most már rendelkezik azzal a képességgel, hogy tetszőleges Java kódot hajtson végre a kliensen, így szélesebb körű műveleteket biztosít.

Ezenkívül a rosszindulatú programot egy hagyományos DNS-tartománygeneráló algoritmusra (DGA) hasonlító mechanizmussal látták el a vészhelyzeti vezérlőkhöz való csatlakozáshoz. Ez a mechanizmus magában foglalja a Decoy Dog tartományok tervezését, hogy válaszoljanak a megsértett ügyfelektől származó DNS-lekérdezésekre. Ezzel a megközelítéssel a Decoy Dog mögött meghúzódó rosszindulatú szereplők hatékonyan átirányíthatják a feltört eszközök kommunikációját jelenlegi vezérlőjükről egy másikra. Ez a kritikus parancs arra utasítja a veszélyeztetett eszközöket, hogy szakítsák meg a kommunikációt az aktuális vezérlővel, és lépjenek kapcsolatba egy új vezérlővel.

Ennek a kifinomult eszköztárnak a felfedezése 2023 áprilisának elején történt, a rendellenes DNS beaconing tevékenység észlelése miatt. Ez a leleplezés rávilágított a rosszindulatú program kifejezetten vállalati hálózatokat célzó, erősen célzott támadásaira.

A Decoy Dog Malware mögött álló kiberbűnözők meghatározott régiókat célozhatnak meg

A Decoy Dog eredetét még nem állapították meg véglegesen, de a gyanú szerint nemzetállami hackerek kiválasztott csoportja üzemelteti. Ezek a hackerek eltérő taktikákat alkalmaznak, miközben válaszolnak a bejövő kérésekre, amelyek összhangban vannak az ügyfélkommunikáció szerkezetével, így erős és megfoghatatlan fenyegetést jelentenek a kiberbiztonsági környezetben.

A Decoy Dog hatékonyan használja a domain névrendszert (DNS) a Command-and-Control (C2) műveleteihez. Ha egy eszközt ez a rosszindulatú program feltör, az DNS-lekérdezések és IP-cím válaszok útján kommunikációt létesít egy kijelölt vezérlővel (szerverrel), és utasításokat kap a vezérlőtől.

Miután a kiberbiztonsági szakértők leleplezték őket, a Decoy Dog mögött álló fenyegetés szereplői gyorsan felléptek bizonyos DNS-névszerverek eltávolításával és új cseredomainek azonnali regisztrálásával a távoli fennmaradás és a folyamatos ellenőrzés biztosítása érdekében. Ez lehetővé tette számukra, hogy a meglévő kompromittált ügyfeleket az új adatkezelőkhöz helyezzék át, bizonyítva ezzel eltökélt szándékukat, hogy fenntartsák az áldozataikhoz való hozzáférést.

A Decoy Dog kezdeti bevezetése 2022. március végére vagy április elejére nyúlik vissza. Azóta a rosszindulatú program három másik klaszterét észlelték, mindegyiket más-más vezérlő üzemelteti. Eddig összesen 21 Decoy Dog domaint azonosítottak. Ezenkívül a 2023 áprilisa óta regisztrált vezérlők egy csoportja módosította taktikáját a geokerítési technikák bevezetésével. Ez a technika az ügyfelek IP-címeire adott válaszokat meghatározott földrajzi helyekre korlátozza, és a megfigyelt tevékenység túlnyomórészt Oroszország és Kelet-Európa régióira korlátozódik.