Zlonamerna programska oprema Decoy Dog
Raziskovalci kibernetske varnosti so po izčrpnem pregledu q na novo odkrite zlonamerne programske opreme, Decoy Dog, odkrili, da predstavlja precejšen napredek v primerjavi s svojo osnovo, odprtokodnim trojancem za oddaljeni dostop Pupy RAT.
Decoy Dog izkazuje obsežen nabor močnih in prej nerazkritih zmožnosti, ki ga ločujejo kot bolj sofisticirano grožnjo. Med njegovimi izjemnimi lastnostmi je zmožnost premestitve žrtev na alternativni krmilnik, kar omogoča slaboumnim akterjem, ki stojijo za zlonamerno programsko opremo, da vzdržujejo komunikacijo z ogroženimi stroji, medtem ko se dlje časa izogibajo odkrivanju. Zanimivo je, da so bili primeri, ko so žrtve nevede komunicirale s strežnikom Decoy Dog več kot eno leto, kar je poudarilo prikritost in odpornost te zlonamerne programske opreme.
Zlonamerna programska oprema Decoy Dog je opremljena z razširjenim naborom nevarnih funkcij
Nedavno identificirana zlonamerna programska oprema, Decoy Dog, se ponaša z več novimi funkcijami, ki jo ločijo od drugih. Predvsem ima Decoy Dog zdaj zmožnost izvajanja poljubne kode Java na odjemalcu, kar mu omogoča obsežnejši obseg dejanj.
Poleg tega je bila zlonamerna programska oprema opremljena z mehanizmom, ki spominja na tradicionalni algoritem za generiranje domen DNS (DGA) za povezavo s krmilniki v sili. Ta mehanizem vključuje načrtovanje domen Decoy Dog za odziv na ponovno predvajane poizvedbe DNS, ki izvirajo iz odjemalcev, pri katerih je prišlo do vdora. S tem pristopom lahko zlonamerni akterji, ki stojijo za Decoy Dogom, učinkovito preusmerijo komunikacijo ogroženih naprav z njihovega trenutnega krmilnika na drugega. Ta kritični ukaz naroči ogroženim napravam, naj prekinejo komunikacijo s trenutnim krmilnikom in vzpostavijo stik z novim.
Odkritje tega prefinjenega kompleta orodij se je zgodilo v začetku aprila 2023, na podlagi odkritja nenormalne dejavnosti signalizacije DNS. To razkritje je razkrilo visoko ciljane napade zlonamerne programske opreme, ki so posebej usmerjeni na omrežja podjetij.
Kibernetski kriminalci, ki stojijo za zlonamerno programsko opremo Decoy Dog, lahko ciljajo na določene regije
Izvor Decoy Doga še ni dokončno ugotovljen, vendar se domneva, da ga upravlja izbrana skupina hekerjev iz nacionalne države. Ti hekerji uporabljajo različne taktike, medtem ko se odzivajo na vhodne zahteve, ki so usklajene s strukturo komunikacije strank, zaradi česar so močna in izmuzljiva grožnja v krajini kibernetske varnosti.
Decoy Dog učinkovito uporablja sistem domenskih imen (DNS) za svoje operacije ukazovanja in nadzora (C2). Ko napravo ogrozi ta zlonamerna programska oprema, vzpostavi komunikacijo z določenim krmilnikom (strežnikom) prek poizvedb DNS in odgovorov na naslov IP ter prejme navodila od krmilnika.
Potem ko so jih strokovnjaki za kibernetsko varnost razkrili, so akterji groženj, ki stojijo za Decoy Dogom, hitro ukrepali tako, da so odstranili določene DNS imenske strežnike in takoj registrirali nove nadomestne domene, da bi zagotovili oddaljeno obstojnost in nadaljnji nadzor. To jim je omogočilo prenos obstoječih ogroženih odjemalcev na nove upravljavce, s čimer so pokazali svojo odločenost ohraniti dostop do svojih žrtev.
Začetna uvedba Decoy Doga sega v konec marca ali začetek aprila 2022. Od takrat so bile zaznane še tri druge skupine zlonamerne programske opreme, od katerih je vsako upravljal drug krmilnik. Doslej je bilo identificiranih skupno 21 domen Decoy Dog. Poleg tega je en niz krmilnikov, registriranih od aprila 2023, prilagodil svojo taktiko z izvajanjem tehnik geofencinga. Ta tehnika omejuje odzive na naslove IP odjemalcev na določene geografske lokacije, pri čemer je opažena dejavnost pretežno omejena na regije v Rusiji in vzhodni Evropi.
