Злонамерни софтвер за мамце

Након спровођења свеобухватног испитивања к новоидентификованог малвера, Децои Дог, истраживачи сајбер безбедности су открили да он представља значајан напредак у поређењу са његовом основом, тројанцем отвореног кода за даљински приступ Пупи РАТ.

Пас мамац показује широку лепезу моћних и раније неоткривених способности, што га издваја као софистициранију претњу. Међу његовим изванредним карактеристикама је и способност премештања жртава на алтернативни контролер, омогућавајући злонамерним актерима који стоје иза малвера да одржавају комуникацију са компромитованим машинама док избегавају откривање током дужег временског периода. Занимљиво је да је било случајева у којима су жртве несвесно комуницирале са сервером Децои Дог дуже од годину дана, наглашавајући прикривеност и отпорност овог злонамерног софтвера.

Злонамерни софтвер за мачке Децои Дог је опремљен проширеним скупом претећих карактеристика

Недавно идентификовани малвер, Децои Дог, има неколико нових функционалности које га издвајају. Значајно је да Децои Дог сада поседује способност да изврши произвољни Јава код на клијенту, дајући му шири опсег акција.

Поред тога, злонамерни софтвер је опремљен механизмом који подсећа на традиционални алгоритам генерисања ДНС домена (ДГА) за повезивање са контролерима за хитне случајеве. Овај механизам укључује пројектовање домена Децои Дог како би одговорили на поново репродуковане ДНС упите који потичу од оштећених клијената. Кроз овај приступ, злонамерни актери који стоје иза „Мамца пса“ могу ефикасно да преусмере комуникацију компромитованих уређаја са свог тренутног контролора на други. Ова критична команда упућује компромитоване уређаје да прекину комуникацију са тренутним контролером и успоставе контакт са новим.

Откриће овог софистицираног комплета алата догодило се почетком априла 2023. године, подстакнуто откривањем аномалне активности ДНС беацонинга. Ово откриће је изнело на видело високо циљане нападе малвера посебно усмерене на мреже предузећа.

Сајбер криминалци који стоје иза малвера Децои Дог могу да циљају одређене регионе

Порекло пса-мамца још није дефинитивно утврђено, али се сумња да њиме управља одабрана група хакера из националне државе. Ови хакери користе различите тактике док одговарају на долазне захтеве који су у складу са структуром комуникације клијента, што га чини снажном и неухватљивом претњом у окружењу сајбер безбедности.

Децои Дог ефикасно користи систем имена домена (ДНС) за своје командне и контролне (Ц2) операције. Када је уређај компромитован овим малвером, он успоставља комуникацију са одређеним контролером (сервером) преко ДНС упита и одговора ИП адреса, примајући упутства од контролора.

Након што су их разоткрили стручњаци за сајбер безбедност, актери претњи који стоје иза „Мамца пса“ су брзо реаговали тако што су уклонили одређене ДНС сервере имена и одмах регистровали нове заменске домене како би осигурали даљинско упорност и континуирану контролу. То им је омогућило да постојеће компромитоване клијенте пребаце на нове контролоре, показујући своју одлучност да задрже приступ својим жртвама.

Првобитна примена Децои Дог-а сеже до краја марта или почетка априла 2022. Од тада су откривена још три кластера малвера, од којих сваки управља другачијим контролором. До сада је идентификован укупно 21 домен Децои Дог. Штавише, један сет контролора регистрованих од априла 2023. прилагодио је своју тактику применом техника геофенцинга. Ова техника ограничава одговоре на ИП адресе клијената на одређене географске локације, при чему је посматрана активност углавном ограничена на регионе у Русији и источној Европи.