Decoy Dog kenkėjiška programa

Išsamiai ištyrę q naujai identifikuotą kenkėjišką programą „Decoy Dog“, kibernetinio saugumo tyrėjai atskleidė, kad ji yra didelė pažanga, palyginti su jos pagrindu – atvirojo kodo nuotolinės prieigos Trojos arkliu Pupy RAT.

„Decoy Dog“ pasižymi daugybe galingų ir anksčiau neatskleistų galimybių, išskiriant jį kaip sudėtingesnę grėsmę. Tarp puikių jo savybių yra galimybė perkelti aukas į alternatyvų valdiklį, leidžiantį piktavaliams kenkėjiškų programų veikėjams palaikyti ryšį su pažeistais įrenginiais, išvengiant aptikimo ilgą laiką. Pažymėtina, kad buvo atvejų, kai aukos netyčia bendravo su Decoy Dog serveriu daugiau nei metus, pabrėždamos šios kenkėjiškos programinės įrangos slaptumą ir atsparumą.

„Decoy Dog“ kenkėjiška programinė įranga turi išplėstą grėsmingų funkcijų rinkinį

Neseniai nustatyta kenkėjiška programa „Decoy Dog“ turi keletą naujų funkcijų, kurios ją išskiria. Pažymėtina, kad „Decoy Dog“ dabar turi galimybę vykdyti savavališką „Java“ kodą klientui, suteikdamas jam platesnį veiksmų spektrą.

Be to, kenkėjiška programinė įranga buvo aprūpinta mechanizmu, primenančiu tradicinį DNS domeno generavimo algoritmą (DGA), skirtą prisijungti prie avarinių valdiklių. Šis mechanizmas apima „Decoy Dog“ domenų projektavimą, kad būtų galima atsakyti į pakartotinai atkurtas DNS užklausas, kylančias iš pažeistų klientų. Taikydami šį metodą, kenkėjiški „Decoy Dog“ veikėjai gali veiksmingai nukreipti pažeistų įrenginių ryšį iš savo dabartinio valdiklio į kitą. Ši svarbi komanda nurodo pažeistiems įrenginiams nutraukti ryšį su esamu valdikliu ir užmegzti ryšį su nauju.

Šis sudėtingas įrankių rinkinys buvo atrastas 2023 m. balandžio mėn. pradžioje, jį paskatino aptikta anomali DNS švyturių veikla. Šis apreiškimas atskleidė kenkėjiškos programos labai tikslines atakas, specialiai skirtas įmonių tinklams.

Kibernetiniai nusikaltėliai, užsiimantys „Decoy Dog“ kenkėjiška programa, gali nusitaikyti į konkrečius regionus

„Decoy Dog“ ištakos dar nėra galutinai nustatytos, tačiau įtariama, kad jį valdo rinktinė nacionalinės valstybės įsilaužėlių grupė. Šie įsilaužėliai taiko skirtingą taktiką, reaguodami į gaunamas užklausas, kurios atitinka klientų komunikacijos struktūrą, todėl kibernetinio saugumo srityje tai yra stipri ir sunkiai suprantama grėsmė.

„Decoy Dog“ efektyviai naudoja domeno vardų sistemą (DNS) savo komandų ir valdymo (C2) operacijoms. Kai įrenginys yra pažeistas šios kenkėjiškos programos, jis užmezga ryšį su nurodytu valdikliu (serveriu), naudodamas DNS užklausas ir IP adresų atsakymus, gaudamas nurodymus iš valdiklio.

Po to, kai kibernetinio saugumo ekspertai juos atskleidė, „Decoy Dog“ grėsmės veikėjai greitai ėmėsi veiksmų, panaikindami tam tikrus DNS vardų serverius ir nedelsdami užregistruodami naujus pakaitinius domenus, kad užtikrintų nuotolinį patvarumą ir nuolatinę kontrolę. Tai leido jiems perduoti esamus pažeistus klientus naujiems duomenų valdytojams, parodydami savo ryžtą išlaikyti prieigą prie savo aukų.

Pradinis „Decoy Dog“ diegimas prasidėjo 2022 m. kovo pabaigoje arba balandžio pradžioje. Nuo tada buvo aptiktos dar trys kenkėjiškų programų grupės, kurių kiekvieną valdo skirtingas valdiklis. Iki šiol iš viso buvo nustatytas 21 „Decoy Dog“ domenas. Be to, vienas kontrolierių rinkinys, registruotas nuo 2023 m. balandžio mėn., pritaikė savo taktiką, įdiegdamas geotvoros metodus. Ši technika apriboja atsakymus į klientų IP adresus konkrečiose geografinėse vietose, o stebima veikla daugiausia apsiriboja Rusijos ir Rytų Europos regionais.