Decoy Dog Malware

Etter å ha gjennomført en omfattende undersøkelse av nylig identifisert skadelig programvare, Decoy Dog, har cybersikkerhetsforskere avdekket at den representerer et betydelig fremskritt sammenlignet med grunnlaget, åpen kildekode-trojaneren Pupy RAT.

Decoy Dog viser et omfattende utvalg av potente og tidligere ikke avslørte evner, og skiller den fra seg som en mer sofistikert trussel. Blant dens bemerkelsesverdige funksjoner er kapasiteten til å flytte ofre til en alternativ kontroller, noe som gjør det mulig for ondsinnede aktører bak skadevare å opprettholde kommunikasjon med kompromitterte maskiner mens de unngår oppdagelse i lengre tid. Bemerkelsesverdig nok har det vært tilfeller der ofre uforvarende har samhandlet med en Decoy Dog-server i godt over et år, noe som fremhever snikingen og motstandskraften til denne ondsinnede programvaren.

Decoy Dog Malware er utstyrt med et utvidet sett med truende funksjoner

Den nylig identifiserte skadevare, Decoy Dog, har flere nye funksjoner som skiller den fra hverandre. Spesielt har Decoy Dog nå muligheten til å utføre vilkårlig Java-kode på klienten, og gir den et mer omfattende spekter av handlinger.

I tillegg har skadevaren blitt utstyrt med en mekanisme som ligner en tradisjonell DNS-domenegenereringsalgoritme (DGA) for å koble til nødkontrollere. Denne mekanismen innebærer å konstruere Decoy Dog-domenene for å svare på gjenspilte DNS-spørringer som stammer fra klienter som brytes. Gjennom denne tilnærmingen kan de ondsinnede aktørene bak lokkehunden effektivt omdirigere kommunikasjonen av kompromitterte enheter fra deres nåværende kontroller til en annen. Denne kritiske kommandoen instruerer de kompromitterte enhetene om å slutte å kommunisere med den gjeldende kontrolleren og etablere kontakt med en ny.

Oppdagelsen av dette sofistikerte verktøysettet skjedde tidlig i april 2023, foranlediget av påvisning av unormal DNS-signalaktivitet. Denne avsløringen brakte frem skadelig programvares svært målrettede angrep spesifikt rettet mot bedriftsnettverk.

Nettkriminelle bak skadelig programvare for lokkehunder kan målrette mot spesifikke regioner

Opprinnelsen til lokkehunden er ikke definitivt fastslått ennå, men den mistenkes å være drevet av en utvalgt gruppe nasjonalstatshackere. Disse hackerne bruker distinkte taktikker mens de svarer på innkommende forespørsler som stemmer overens med strukturen til klientkommunikasjon, noe som gjør det til en potent og unnvikende trussel i cybersikkerhetslandskapet.

Lokkehunden bruker effektivt domenenavnsystemet (DNS) for sine Command-and-Control-operasjoner (C2). Når en enhet er kompromittert av denne skadelige programvaren, etablerer den kommunikasjon med en utpekt kontroller (server) gjennom DNS-spørringer og IP-adressesvar, og mottar instruksjoner fra kontrolleren.

Etter å ha blitt avslørt av cybersikkerhetseksperter, handlet trusselaktørene bak Decoy Dog raskt ved å ta ned visse DNS-navneservere og raskt registrere nye erstatningsdomener for å sikre ekstern utholdenhet og fortsatt kontroll. Dette tillot dem å overføre de eksisterende kompromitterte klientene til de nye kontrollørene, og demonstrerte deres vilje til å opprettholde tilgangen til ofrene sine.

Den første utplasseringen av Decoy Dog går tilbake til slutten av mars eller begynnelsen av april 2022. Siden den gang har tre andre klynger av skadelig programvare blitt oppdaget, hver drevet av en annen kontroller. Så langt er totalt 21 Decoy Dog-domener identifisert. I tillegg har ett sett med kontrollere registrert siden april 2023 tilpasset taktikken ved å implementere geofencing-teknikker. Denne teknikken begrenser svar på klientens IP-adresser til spesifikke geografiske steder, med den observerte aktiviteten hovedsakelig begrenset til regioner i Russland og Øst-Europa.