Decoy Dog ļaunprātīga programmatūra

Veicot vispusīgu q nesen identificētās ļaunprogrammatūras — Decoy Dog — pārbaudi, kiberdrošības pētnieki atklāja, ka tā ir ievērojams sasniegums salīdzinājumā ar tās pamatu — atvērtā koda attālās piekļuves Trojas zirgu Pupy RAT.

Decoy Dog demonstrē plašu spēcīgu un iepriekš neatklātu iespēju klāstu, izceļot to kā sarežģītāku draudu. Viena no tās ievērojamajām iezīmēm ir spēja pārvietot upurus uz alternatīvu kontrolieri, ļaujot ļaunprātīgajiem dalībniekiem, kas atrodas aiz ļaunprātīgas programmatūras, uzturēt saziņu ar uzlauztām iekārtām, vienlaikus izvairoties no atklāšanas ilgāku laiku. Jāatzīmē, ka ir bijuši gadījumi, kad upuri neapzināti ir mijiedarbojušies ar Decoy Dog serveri vairāk nekā gadu, uzsverot šīs ļaunprātīgās programmatūras slepenību un noturību.

Ļaunprogrammatūra Decoy Dog ir aprīkota ar paplašinātu draudīgu funkciju komplektu

Nesen identificētajai ļaunprogrammatūrai Decoy Dog ir vairākas jaunas funkcijas, kas to atšķir. Jāatzīmē, ka Decoy Dog tagad ir iespēja izpildīt patvaļīgu Java kodu klientam, nodrošinot tam plašāku darbību klāstu.

Turklāt ļaunprogrammatūra ir aprīkota ar mehānismu, kas atgādina tradicionālo DNS domēna ģenerēšanas algoritmu (DGA), lai izveidotu savienojumu ar avārijas kontrolieriem. Šis mehānisms ietver Decoy Dog domēnu izstrādi, lai atbildētu uz atkārtoti atskaņotiem DNS vaicājumiem, kas nāk no pārkāptiem klientiem. Izmantojot šo pieeju, ļaunprātīgie dalībnieki, kas atrodas aiz Decoy Dog, var efektīvi pāradresēt apdraudēto ierīču saziņu no pašreizējā kontroliera uz citu. Šī kritiskā komanda uzdod apdraudētajām ierīcēm pārtraukt saziņu ar pašreizējo kontrolieri un izveidot kontaktu ar jaunu.

Šī izsmalcinātā rīkkopa tika atklāta 2023. gada aprīļa sākumā, jo tika konstatēta anomāla DNS bāksignāla darbība. Šis atklājums atklāja ļaunprātīgas programmatūras ļoti mērķtiecīgus uzbrukumus, kas īpaši vērsti pret uzņēmumu tīkliem.

Kibernoziedznieki aiz Decoy Dog ļaunprātīgas programmatūras var mērķēt uz konkrētiem reģioniem

Decoy Dog izcelsme vēl nav pilnībā noskaidrota, taču ir aizdomas, ka to pārvalda noteikta nacionālo valstu hakeru grupa. Šie hakeri izmanto atšķirīgu taktiku, reaģējot uz ienākošajiem pieprasījumiem, kas atbilst klientu komunikācijas struktūrai, padarot to par spēcīgu un nenotveramu apdraudējumu kiberdrošības vidē.

Decoy Dog efektīvi izmanto domēna nosaukumu sistēmu (DNS) savām komandu un kontroles (C2) darbībām. Kad šī ļaunprogrammatūra apdraud ierīci, tā izveido saziņu ar norādīto kontrolieri (serveri), izmantojot DNS vaicājumus un IP adreses atbildes, saņemot norādījumus no kontroliera.

Pēc tam, kad kiberdrošības eksperti tos atklāja, Decoy Dog radītie draudi rīkojās ātri, likvidējot noteiktus DNS nosaukumu serverus un nekavējoties reģistrējot jaunus aizstājējdomēnus, lai nodrošinātu attālinātu noturību un nepārtrauktu kontroli. Tas ļāva viņiem nodot esošos apdraudētos klientus jaunajiem kontrolieriem, demonstrējot viņu apņēmību saglabāt piekļuvi saviem upuriem.

Sākotnējā Decoy Dog izvietošana sākās 2022. gada marta beigās vai aprīļa sākumā. Kopš tā laika ir atklātas trīs citas ļaunprātīgas programmatūras kopas, kuras katru darbina cits kontrolieris. Līdz šim kopumā ir identificēts 21 Decoy Dog domēns. Turklāt viens kontrolieru komplekts, kas reģistrēts kopš 2023. gada aprīļa, ir pielāgojis savu taktiku, ieviešot ģeožogu metodes. Šis paņēmiens ierobežo atbildes uz klientu IP adresēm noteiktās ģeogrāfiskās vietās, un novērotā darbība galvenokārt attiecas tikai uz Krievijas un Austrumeiropas reģioniem.