Decoy Dog Malware

Po vykonaní komplexného preskúmania q novo identifikovaného malvéru, Decoy Dog, výskumníci v oblasti kybernetickej bezpečnosti odhalili, že predstavuje značný pokrok v porovnaní s jeho základom, open-source trójskym koňom Pupy RAT.

Decoy Dog vykazuje rozsiahlu škálu silných a predtým nezverejnených schopností, čím sa odlišuje od sofistikovanejšej hrozby. Medzi jeho pozoruhodné vlastnosti patrí schopnosť premiestniť obete k alternatívnemu ovládaču, čo umožňuje zle zmýšľajúcim aktérom, ktorí stoja za malvérom, udržiavať komunikáciu s kompromitovanými strojmi a zároveň sa vyhýbať detekcii na dlhší čas. Je pozoruhodné, že sa vyskytli prípady, keď obete nevedomky interagovali so serverom Decoy Dog už viac ako rok, čo zdôraznilo utajenie a odolnosť tohto škodlivého softvéru.

Malvér Decoy Dog je vybavený rozšírenou sadou hrozivých funkcií

Nedávno identifikovaný malvér Decoy Dog sa môže pochváliť niekoľkými novými funkciami, ktoré ho odlišujú. Je pozoruhodné, že Decoy Dog má teraz schopnosť spúšťať ľubovoľný kód Java na klientovi, čo mu poskytuje širší rozsah akcií.

Okrem toho bol malvér vybavený mechanizmom pripomínajúcim tradičný algoritmus generovania domén DNS (DGA) na pripojenie k núdzovým ovládačom. Tento mechanizmus zahŕňa vytvorenie domén Decoy Dog tak, aby odpovedali na opakované dotazy DNS pochádzajúce od narušených klientov. Prostredníctvom tohto prístupu môžu zlomyseľní aktéri za Decoy Dogom efektívne presmerovať komunikáciu napadnutých zariadení z ich aktuálneho ovládača na iný. Tento kritický príkaz inštruuje napadnuté zariadenia, aby prestali komunikovať s aktuálnym ovládačom a nadviazali kontakt s novým.

Objav tejto sofistikovanej sady nástrojov nastal začiatkom apríla 2023, čo bolo vyvolané detekciou anomálnej aktivity DNS beaconing. Toto odhalenie odhalilo vysoko cielené útoky malvéru špecificky zamerané na podnikové siete.

Kyberzločinci za malvérom Decoy Dog môžu zacieliť na konkrétne regióny

Pôvod Decoy Dog ešte nebol definitívne stanovený, ale existuje podozrenie, že ho prevádzkuje vybraná skupina hackerov z národných štátov. Títo hackeri využívajú odlišné taktiky pri reagovaní na prichádzajúce požiadavky, ktoré sú v súlade so štruktúrou klientskej komunikácie, čo z nej robí silnú a nepolapiteľnú hrozbu v prostredí kybernetickej bezpečnosti.

Decoy Dog efektívne využíva systém názvov domén (DNS) na operácie Command-and-Control (C2). Keď je zariadenie napadnuté týmto malvérom, nadviaže komunikáciu s určeným radičom (serverom) prostredníctvom dotazov DNS a odpovedí na IP adresu, pričom dostane inštrukcie od radiča.

Po odhalení odborníkmi na kybernetickú bezpečnosť, aktéri hrozieb stojaci za Decoy Dogom rýchlo zareagovali tým, že odstránili určité DNS nameservery a okamžite zaregistrovali nové náhradné domény, aby sa zabezpečila vzdialená stálosť a trvalá kontrola. To im umožnilo presunúť existujúcich napadnutých klientov k novým kontrolórom, čím preukázali svoje odhodlanie zachovať prístup k svojim obetiam.

Počiatočné nasadenie Decoy Dog sa datuje koncom marca alebo začiatkom apríla 2022. Odvtedy boli zistené tri ďalšie klastre malvéru, každý prevádzkovaný iným kontrolórom. Doteraz bolo identifikovaných celkovo 21 domén Decoy Dog. Okrem toho jeden súbor kontrolórov registrovaných od apríla 2023 prispôsobil svoju taktiku implementáciou techník geofencingu. Táto technika obmedzuje odpovede na IP adresy klientov na konkrétne geografické miesta, pričom pozorovaná aktivita je prevažne obmedzená na regióny v Rusku a východnej Európe.