Decoy Dog Malware

La efectuarea unei examinări cuprinzătoare a q noului malware identificat, Decoy Dog, cercetătorii în securitate cibernetică au descoperit că acesta reprezintă un progres considerabil în comparație cu fundația sa, troianul open-source pentru acces la distanță Pupy RAT.

Decoy Dog prezintă o gamă largă de capabilități puternice și nedezvăluite anterior, deosebindu-l ca o amenințare mai sofisticată. Printre caracteristicile sale remarcabile se numără capacitatea de a muta victimele într-un controler alternativ, permițând actorilor rău minți din spatele malware-ului să mențină comunicarea cu mașinile compromise, evitând în același timp detectarea pentru perioade prelungite. În mod remarcabil, au existat cazuri în care victimele au interacționat fără să vrea cu un server Decoy Dog timp de mai bine de un an, evidențiind ascunsarea și rezistența acestui software rău intenționat.

Decoy Dog Malware este echipat cu un set extins de caracteristici amenințătoare

Malware-ul recent identificat, Decoy Dog, se mândrește cu câteva funcționalități noi care îl deosebesc. În special, Decoy Dog are acum capacitatea de a executa cod Java arbitrar pe client, oferindu-i o gamă mai extinsă de acțiuni.

În plus, malware-ul a fost echipat cu un mecanism asemănător unui algoritm tradițional de generare a domeniului DNS (DGA) pentru a se conecta la controlerele de urgență. Acest mecanism implică proiectarea domeniilor Decoy Dog pentru a răspunde la interogările DNS reluate provenite de la clienții încălcați. Prin această abordare, actorii rău intenționați din spatele Câinelui Momeală pot redirecționa eficient comunicarea dispozitivelor compromise de la controlerul lor actual la altul. Această comandă critică instruiește dispozitivele compromise să înceteze comunicarea cu controlerul actual și să stabilească contactul cu unul nou.

Descoperirea acestui set de instrumente sofisticat a avut loc la începutul lunii aprilie 2023, determinată de detectarea activității anormale de semnalizare DNS. Această dezvăluire a scos la iveală atacurile extrem de țintite ale malware-ului, care vizează în mod special rețelele întreprinderilor.

Criminalii cibernetici din spatele programului malware Decoy Dog pot viza anumite regiuni

Originile Câinelui Decoy nu au fost încă stabilite definitiv, dar se suspectează că este operat de un grup select de hackeri din statul național. Acești hackeri folosesc tactici distincte în timp ce răspund la solicitările de intrare care se aliniază cu structura de comunicare cu clientul, făcându-l o amenințare puternică și evazivă în peisajul securității cibernetice.

Decoy Dog utilizează eficient sistemul de nume de domeniu (DNS) pentru operațiunile sale de comandă și control (C2). Când un dispozitiv este compromis de acest malware, acesta stabilește comunicarea cu un controler (server) desemnat prin interogări DNS și răspunsuri la adresa IP, primind instrucțiuni de la controler.

După ce au fost expuși de către experții în securitate cibernetică, actorii amenințărilor din spatele lui Decoy Dog au acționat rapid prin eliminarea anumitor servere de nume DNS și înregistrând prompt noi domenii de înlocuire pentru a asigura persistența de la distanță și controlul continuu. Acest lucru le-a permis să transfere clienții compromiși existenți către noii controlori, demonstrând hotărârea lor de a menține accesul la victimele lor.

Desfășurarea inițială a Decoy Dog datează de la sfârșitul lunii martie sau începutul lui aprilie 2022. De atunci, au fost detectate alte trei grupuri de malware, fiecare operat de un controler diferit. Până acum, au fost identificate un total de 21 de domenii Decoy Dog. Mai mult, un set de controlori înregistrați din aprilie 2023 și-a adaptat tactica prin implementarea tehnicilor de geofencing. Această tehnică restricționează răspunsurile la adresele IP ale clienților la anumite locații geografice, activitatea observată fiind limitată predominant la regiunile din Rusia și Europa de Est.