디코이 도그 악성코드

사이버 보안 연구원들은 새로 식별된 맬웨어인 Decoy Dog에 대한 포괄적인 조사를 수행한 결과 해당 기반인 오픈 소스 원격 액세스 트로이 목마인 Pupy RAT에 비해 상당한 발전이 있음을 발견했습니다.

Decoy Dog는 강력하고 이전에 공개되지 않은 광범위한 기능을 보여 더 정교한 위협으로 구분합니다. 주목할만한 기능 중 하나는 피해자를 대체 컨트롤러로 재배치하여 맬웨어 배후의 악의 있는 행위자가 오랫동안 탐지를 피하면서 손상된 시스템과 통신을 유지할 수 있도록 하는 것입니다. 놀랍게도 피해자가 1년 넘게 Decoy Dog 서버와 무의식적으로 상호 작용한 사례가 있어 이 악성 소프트웨어의 은밀성과 탄력성을 강조했습니다.

Decoy Dog 악성코드에는 확장된 위협 기능 세트가 장착되어 있습니다.

최근에 확인된 맬웨어인 Decoy Dog는 이를 차별화하는 몇 가지 새로운 기능을 자랑합니다. 특히 Decoy Dog는 이제 클라이언트에서 임의의 Java 코드를 실행할 수 있는 기능을 보유하여 더 광범위한 작업을 허용합니다.

또한 이 악성코드는 비상 컨트롤러에 연결하기 위해 기존의 DNS 도메인 생성 알고리즘(DGA)과 유사한 메커니즘을 갖추고 있습니다. 이 메커니즘에는 침해된 클라이언트에서 발생하는 재생된 DNS 쿼리에 응답하도록 Decoy Dog 도메인을 엔지니어링하는 작업이 포함됩니다. 이 접근 방식을 통해 Decoy Dog 배후의 악의적인 행위자는 손상된 장치의 통신 경로를 현재 컨트롤러에서 다른 컨트롤러로 효과적으로 재지정할 수 있습니다. 이 중요한 명령은 손상된 장치에 현재 컨트롤러와의 통신을 중단하고 새 컨트롤러와의 연결을 설정하도록 지시합니다.

이 정교한 툴킷은 2023년 4월 초에 비정상적인 DNS 비커닝 활동이 감지되면서 발견되었습니다. 이 폭로는 특히 기업 네트워크를 겨냥한 악성코드의 고도로 표적화된 공격을 밝혀냈습니다.

Decoy Dog 멀웨어 배후의 사이버 범죄자는 특정 지역을 대상으로 할 수 있습니다.

Decoy Dog의 기원은 아직 명확하게 밝혀지지 않았지만 일부 국가 해커 그룹이 운영하는 것으로 의심됩니다. 이러한 해커는 클라이언트 통신 구조와 일치하는 인바운드 요청에 응답하면서 고유한 전술을 사용하므로 사이버 보안 환경에서 강력하고 파악하기 어려운 위협이 됩니다.

Decoy Dog는 명령 및 제어(C2) 작업을 위해 도메인 이름 시스템(DNS)을 효과적으로 활용합니다. 이 맬웨어에 의해 장치가 손상되면 DNS 쿼리 및 IP 주소 응답을 통해 지정된 컨트롤러(서버)와 통신을 설정하고 컨트롤러로부터 명령을 받습니다.

사이버 보안 전문가에 의해 노출된 후 Decoy Dog 배후의 위협 행위자는 특정 DNS 이름 서버를 제거하고 신속하게 새로운 대체 도메인을 등록하여 원격 지속성과 지속적인 제어를 보장하는 방식으로 신속하게 행동했습니다. 이를 통해 그들은 기존의 손상된 클라이언트를 새로운 컨트롤러로 이전하여 피해자에 대한 액세스를 유지하겠다는 의지를 보여주었습니다.

Decoy Dog의 초기 배포는 2022년 3월 말 또는 4월 초로 거슬러 올라갑니다. 그 이후로 각각 다른 컨트롤러에서 작동하는 3개의 다른 맬웨어 클러스터가 탐지되었습니다. 지금까지 총 21개의 Decoy Dog 도메인이 확인되었습니다. 또한 2023년 4월 이후 등록된 한 세트의 컨트롤러는 지오펜싱 기술을 구현하여 전술을 조정했습니다. 이 기술은 클라이언트 IP 주소에 대한 응답을 특정 지리적 위치로 제한하며 관찰된 활동은 주로 러시아 및 동유럽 지역으로 제한됩니다.