Вредоносное ПО для собак-приманок

Проведя всестороннее исследование q недавно обнаруженного вредоносного ПО Decoy Dog, исследователи в области кибербезопасности обнаружили, что оно представляет собой значительный прогресс по сравнению с его основой, трояном удаленного доступа с открытым исходным кодом Pupy RAT.

Decoy Dog демонстрирует широкий спектр мощных и ранее неизвестных возможностей, что выделяет его как более изощренную угрозу. Среди его замечательных особенностей — способность перемещать жертв на альтернативный контроллер, что позволяет злоумышленникам, стоящим за вредоносной программой, поддерживать связь со скомпрометированными машинами, избегая обнаружения в течение длительного времени. Примечательно, что были случаи, когда жертвы невольно взаимодействовали с сервером Decoy Dog в течение более года, что подчеркивает скрытность и устойчивость этого вредоносного программного обеспечения.

Вредоносная программа Decoy Dog оснащена расширенным набором угрожающих функций

Недавно выявленное вредоносное ПО Decoy Dog может похвастаться несколькими новыми функциями, которые отличают его от других. Примечательно, что Decoy Dog теперь обладает возможностью выполнять произвольный Java-код на клиенте, предоставляя ему более широкий спектр действий.

Кроме того, вредоносное ПО оснащено механизмом, напоминающим традиционный алгоритм генерации домена DNS (DGA), для подключения к аварийным контроллерам. Этот механизм включает в себя разработку доменов Decoy Dog для ответа на повторяющиеся DNS-запросы, исходящие от взломанных клиентов. Благодаря этому подходу злоумышленники, стоящие за Decoy Dog, могут эффективно перенаправлять обмен данными с скомпрометированными устройствами с их текущего контроллера на другой. Эта критическая команда предписывает скомпрометированным устройствам прекратить связь с текущим контроллером и установить связь с новым.

Обнаружение этого сложного инструментария произошло в начале апреля 2023 года в связи с обнаружением аномальной активности DNS-маяков. Это разоблачение выявило узконаправленные атаки вредоносного ПО, специально нацеленные на корпоративные сети.

Киберпреступники, стоящие за вредоносным ПО Decoy Dog, могут атаковать определенные регионы

Происхождение Decoy Dog еще окончательно не установлено, но есть подозрения, что им управляет избранная группа хакеров из национального государства. Эти хакеры используют различные тактики, отвечая на входящие запросы, которые соответствуют структуре общения с клиентами, что делает их потенциальной и неуловимой угрозой в среде кибербезопасности.

Decoy Dog эффективно использует систему доменных имен (DNS) для своих операций управления и контроля (C2). Когда устройство скомпрометировано этим вредоносным ПО, оно устанавливает связь с назначенным контроллером (сервером) посредством DNS-запросов и ответов на IP-адреса, получая инструкции от контроллера.

После разоблачения экспертами по кибербезопасности субъекты угрозы, стоящие за Decoy Dog, действовали быстро, отключив определенные DNS-серверы имен и оперативно зарегистрировав новые заменяющие домены, чтобы обеспечить удаленное сохранение и постоянный контроль. Это позволило им перенести существующих скомпрометированных клиентов на новые контроллеры, продемонстрировав свою решимость сохранить доступ к своим жертвам.

Первоначальное развертывание Decoy Dog восходит к концу марта или началу апреля 2022 года. С тех пор были обнаружены три других кластера вредоносного ПО, каждый из которых управляется другим контроллером. На данный момент идентифицирован в общей сложности 21 домен-приманка. Более того, одна группа контролеров, зарегистрированных с апреля 2023 года, адаптировала свою тактику, внедрив методы геозоны. Этот метод ограничивает ответы на IP-адреса клиентов определенными географическими местоположениями, при этом наблюдаемая активность ограничивается преимущественно регионами в России и Восточной Европе.