Złośliwe oprogramowanie psa-wabika

Po przeprowadzeniu kompleksowego badania nowo zidentyfikowanego złośliwego oprogramowania, Decoy Dog, badacze ds. cyberbezpieczeństwa odkryli, że stanowi on znaczny postęp w porównaniu z jego podstawą, trojanem zdalnego dostępu typu open source Pupy RAT.

Decoy Dog wykazuje szeroki wachlarz potężnych i wcześniej nieujawnionych możliwości, co wyróżnia go jako bardziej wyrafinowane zagrożenie. Wśród jego niezwykłych funkcji jest możliwość przenoszenia ofiar do alternatywnego kontrolera, co umożliwia niepoczytalnym aktorom stojącym za szkodliwym oprogramowaniem utrzymywanie komunikacji z zaatakowanymi maszynami przy jednoczesnym uniknięciu wykrycia przez dłuższy czas. Co ciekawe, zdarzały się przypadki, w których ofiary nieświadomie wchodziły w interakcję z serwerem Decoy Dog przez ponad rok, co podkreśla niewidzialność i odporność tego złośliwego oprogramowania.

Złośliwe oprogramowanie Decoy Dog jest wyposażone w rozszerzony zestaw groźnych funkcji

Niedawno zidentyfikowane złośliwe oprogramowanie, Decoy Dog, oferuje kilka nowatorskich funkcji, które je wyróżniają. Warto zauważyć, że Decoy Dog ma teraz możliwość wykonywania dowolnego kodu Java na kliencie, co daje mu szerszy zakres działań.

Dodatkowo szkodliwe oprogramowanie zostało wyposażone w mechanizm przypominający tradycyjny algorytm generowania domen DNS (DGA) w celu łączenia się z awaryjnymi kontrolerami. Mechanizm ten polega na zaprojektowaniu domen Decoy Dog w celu reagowania na powtarzane zapytania DNS pochodzące od naruszonych klientów. Dzięki takiemu podejściu złośliwi aktorzy stojący za Decoy Dog mogą skutecznie przekierować komunikację zaatakowanych urządzeń z ich obecnego kontrolera do innego. To krytyczne polecenie instruuje zainfekowane urządzenia, aby przerwały komunikację z bieżącym kontrolerem i nawiązały kontakt z nowym.

Odkrycie tego zaawansowanego zestawu narzędzi miało miejsce na początku kwietnia 2023 r. w związku z wykryciem nieprawidłowej aktywności sygnalizatorów DNS. To odkrycie ujawniło wysoce ukierunkowane ataki tego złośliwego oprogramowania, wymierzone w sieci korporacyjne.

Cyberprzestępcy stojący za złośliwym oprogramowaniem Decoy Dog mogą atakować określone regiony

Pochodzenie Decoy Dog nie zostało jeszcze ostatecznie ustalone, ale podejrzewa się, że jest obsługiwany przez wybraną grupę hakerów z państw narodowych. Ci hakerzy stosują różne taktyki, odpowiadając na przychodzące żądania, które są zgodne ze strukturą komunikacji z klientem, co czyni je potężnym i nieuchwytnym zagrożeniem w krajobrazie cyberbezpieczeństwa.

Decoy Dog skutecznie wykorzystuje system nazw domen (DNS) do swoich operacji Command-and-Control (C2). Gdy urządzenie zostanie zainfekowane przez to złośliwe oprogramowanie, nawiązuje ono komunikację z wyznaczonym kontrolerem (serwerem) za pośrednictwem zapytań DNS i odpowiedzi na adres IP, otrzymując instrukcje od kontrolera.

Po zdemaskowaniu przez ekspertów ds. cyberbezpieczeństwa cyberprzestępcy stojący za Decoy Dog podjęli szybkie działania, usuwając niektóre serwery nazw DNS i niezwłocznie rejestrując nowe domeny zastępcze, aby zapewnić zdalną trwałość i ciągłą kontrolę. To pozwoliło im przenieść dotychczasowych zaatakowanych klientów do nowych kontrolerów, demonstrując swoją determinację w utrzymaniu dostępu do swoich ofiar.

Początkowe wdrożenie Decoy Dog datuje się na koniec marca lub początek kwietnia 2022 r. Od tego czasu wykryto trzy inne skupiska szkodliwego oprogramowania, z których każdy był obsługiwany przez innego kontrolera. Do tej pory zidentyfikowano łącznie 21 domen Decoy Dog. Co więcej, jedna grupa kontrolerów zarejestrowanych od kwietnia 2023 r. dostosowała swoją taktykę, wdrażając techniki geofencingu. Ta technika ogranicza odpowiedzi na adresy IP klientów do określonych lokalizacji geograficznych, przy czym obserwowana aktywność ogranicza się głównie do regionów Rosji i Europy Wschodniej.