Malware i Qenit Decoy

Pas kryerjes së një ekzaminimi gjithëpërfshirës të malware q të sapoidentifikuar, Qeni Decoy, studiuesit e sigurisë kibernetike kanë zbuluar se ai përfaqëson një përparim të konsiderueshëm në krahasim me themelin e tij, trojanin me qasje në distancë me burim të hapur Pupy RAT.

Qeni Decoy shfaq një gamë të gjerë aftësish të fuqishme dhe të pazbuluara më parë, duke e veçuar atë si një kërcënim më të sofistikuar. Ndër veçoritë e tij të jashtëzakonshme është aftësia për të zhvendosur viktimat në një kontrollues alternativ, duke u mundësuar aktorëve me mendje të keqe pas malware të mbajnë komunikim me makinat e komprometuara duke shmangur zbulimin për kohëzgjatje të zgjatura. Çuditërisht, ka pasur raste kur viktimat kanë ndërvepruar padashur me një server Decoy Dog për më shumë se një vit, duke theksuar fshehtësinë dhe qëndrueshmërinë e këtij softueri keqdashës.

Malware-i Decoy Dog është i pajisur me një grup të zgjeruar karakteristikash kërcënuese

Malware-i i identifikuar së fundmi, Decoy Dog, krenohet me disa funksionalitete të reja që e veçojnë atë. Veçanërisht, Decoy Dog tani posedon aftësinë për të ekzekutuar kodin arbitrar Java te klienti, duke i dhënë atij një gamë më të gjerë veprimesh.

Për më tepër, malware është pajisur me një mekanizëm që i ngjan një algoritmi tradicional të gjenerimit të domenit DNS (DGA) për t'u lidhur me kontrollorët e urgjencës. Ky mekanizëm përfshin inxhinierinë e domeneve Decoy Dog për t'iu përgjigjur pyetjeve të rishikuara DNS që vijnë nga klientët e shkelur. Nëpërmjet kësaj qasjeje, aktorët me qëllim të keq pas Qenit Decoy mund të ridrejtojnë në mënyrë efektive komunikimin e pajisjeve të komprometuara nga kontrolluesi i tyre aktual në një tjetër. Kjo komandë kritike udhëzon pajisjet e komprometuara të ndërpresin komunikimin me kontrolluesin aktual dhe të vendosin kontakt me një të ri.

Zbulimi i kësaj pakete mjetesh të sofistikuara ndodhi në fillim të prillit 2023, i nxitur nga zbulimi i aktivitetit anormal të sinjalizimit DNS. Ky zbulim nxori në dritë sulmet shumë të synuara të malware që synonin posaçërisht rrjetet e ndërmarrjeve.

Kriminelët kibernetikë që qëndrojnë pas malware-it Decoy Dog mund të synojnë rajone specifike

Origjina e Qenit Decoy nuk është përcaktuar ende përfundimisht, por dyshohet se operohet nga një grup i përzgjedhur i hakerëve të shtetit-komb. Këta hakerë përdorin taktika të ndryshme ndërsa u përgjigjen kërkesave hyrëse që përputhen me strukturën e komunikimit të klientit, duke e bërë atë një kërcënim të fuqishëm dhe të pakapshëm në peizazhin e sigurisë kibernetike.

Qeni Decoy përdor në mënyrë efektive sistemin e emrave të domenit (DNS) për operacionet e tij Command-and-Control (C2). Kur një pajisje komprometohet nga ky malware, ajo vendos komunikim me një kontrollues (server) të caktuar përmes pyetjeve DNS dhe përgjigjeve të adresës IP, duke marrë udhëzime nga kontrolluesi.

Pasi u ekspozuan nga ekspertët e sigurisë kibernetike, aktorët e kërcënimit pas Qenit Decoy vepruan me shpejtësi duke hequr disa serverë emrash DNS dhe duke regjistruar menjëherë domene të reja zëvendësuese për të siguruar qëndrueshmëri në distancë dhe kontroll të vazhdueshëm. Kjo i lejoi ata të transferonin klientët ekzistues të komprometuar te kontrollorët e rinj, duke demonstruar vendosmërinë e tyre për të ruajtur aksesin tek viktimat e tyre.

Shpërndarja fillestare e Qenit Decoy fillon në fund të marsit ose në fillim të prillit 2022. Që atëherë, janë zbuluar tre grupime të tjera të malware, secili i operuar nga një kontrollues i ndryshëm. Deri më tani, janë identifikuar gjithsej 21 domene Decoy Dog. Për më tepër, një grup kontrolluesish të regjistruar që nga prilli 2023 ka përshtatur taktikat e tij duke zbatuar teknikat e gjeofencing. Kjo teknikë kufizon përgjigjet ndaj adresave IP të klientëve në vendndodhje specifike gjeografike, me aktivitetin e vëzhguar kryesisht të kufizuar në rajonet në Rusi dhe Evropën Lindore.