Perisian Hasad Anjing Umpan

Selepas menjalankan pemeriksaan menyeluruh terhadap q perisian hasad yang baru dikenal pasti, Anjing Decoy, penyelidik keselamatan siber telah mendapati bahawa ia mewakili kemajuan yang besar berbanding asasnya, trojan akses jauh sumber terbuka Pupy RAT.

Anjing Umpan mempamerkan pelbagai keupayaan yang kuat dan tidak didedahkan sebelum ini, membezakannya sebagai ancaman yang lebih canggih. Antara ciri yang luar biasa ialah keupayaan untuk menempatkan semula mangsa kepada pengawal alternatif, membolehkan aktor yang tidak berakal di sebalik perisian hasad mengekalkan komunikasi dengan mesin yang terjejas sambil mengelak pengesanan untuk tempoh yang lebih lama. Hebatnya, terdapat kejadian di mana mangsa tanpa disedari telah berinteraksi dengan pelayan Anjing Decoy selama lebih setahun, menonjolkan kesembunyian dan daya tahan perisian hasad ini.

Perisian Hasad Anjing Umpan Dilengkapi dengan Set Ciri Mengancam yang Diperluaskan

Malware yang dikenal pasti baru-baru ini, Decoy Dog, mempunyai beberapa fungsi baru yang membezakannya. Terutama, Anjing Umpan kini mempunyai keupayaan untuk melaksanakan kod Java sewenang-wenangnya pada klien, memberikannya rangkaian tindakan yang lebih luas.

Selain itu, perisian hasad telah dilengkapi dengan mekanisme yang menyerupai algoritma penjanaan domain DNS tradisional (DGA) untuk menyambung kepada pengawal kecemasan. Mekanisme ini melibatkan kejuruteraan domain Anjing Umpan untuk menjawab pertanyaan DNS yang dimainkan semula yang berasal daripada pelanggan yang dilanggar. Melalui pendekatan ini, pelakon berniat jahat di sebalik Anjing Umpan dengan berkesan boleh mengalihkan komunikasi peranti yang terjejas daripada pengawal semasa mereka kepada yang lain. Perintah kritikal ini mengarahkan peranti yang terjejas untuk menghentikan komunikasi dengan pengawal semasa dan mewujudkan hubungan dengan yang baharu.

Penemuan kit alat canggih ini berlaku pada awal April 2023, didorong oleh pengesanan aktiviti isyarat DNS anomali. Pendedahan ini mendedahkan serangan yang sangat disasarkan oleh perisian hasad yang ditujukan khusus kepada rangkaian perusahaan.

Penjenayah siber di sebalik Perisian Hasad Anjing Umpan mungkin Menyasarkan Kawasan Tertentu

Asal-usul Anjing Umpan masih belum dipastikan secara muktamad, tetapi ia disyaki dikendalikan oleh sekumpulan penggodam negara-bangsa terpilih. Penggodam ini menggunakan taktik yang berbeza semasa menjawab permintaan masuk yang selaras dengan struktur komunikasi pelanggan, menjadikannya ancaman yang kuat dan sukar difahami dalam landskap keselamatan siber.

Anjing Umpan dengan berkesan menggunakan sistem nama domain (DNS) untuk operasi Perintah-dan-Kawalan (C2). Apabila peranti dikompromi oleh perisian hasad ini, ia mewujudkan komunikasi dengan pengawal (pelayan) yang ditetapkan melalui pertanyaan DNS dan respons alamat IP, menerima arahan daripada pengawal.

Selepas didedahkan oleh pakar keselamatan siber, pelakon ancaman di sebalik Anjing Umpan bertindak pantas dengan menurunkan pelayan nama DNS tertentu dan segera mendaftarkan domain gantian baharu untuk memastikan kegigihan jauh dan kawalan berterusan. Ini membolehkan mereka memindahkan pelanggan sedia ada yang terjejas kepada pengawal baharu, menunjukkan keazaman mereka untuk mengekalkan akses kepada mangsa mereka.

Penggunaan awal Anjing Umpan dikesan sejak akhir Mac atau awal April 2022. Sejak itu, tiga kelompok perisian hasad lain telah dikesan, setiap satu dikendalikan oleh pengawal yang berbeza. Setakat ini, sebanyak 21 domain Anjing Umpan telah dikenal pasti. Selain itu, satu set pengawal yang didaftarkan sejak April 2023 telah menyesuaikan taktiknya dengan melaksanakan teknik geofencing. Teknik ini mengehadkan respons kepada alamat IP pelanggan ke lokasi geografi tertentu, dengan aktiviti yang diperhatikan kebanyakannya terhad kepada wilayah di Rusia dan Eropah Timur.