มัลแวร์ล่อสุนัข

จากการตรวจสอบอย่างครอบคลุมของมัลแวร์ q ที่เพิ่งค้นพบใหม่ Decoy Dog นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ได้ค้นพบว่ามันแสดงถึงความก้าวหน้าอย่างมากเมื่อเทียบกับรากฐานของมัน นั่นคือ Pupy RAT โทรจันการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส

Decoy Dog แสดงให้เห็นถึงศักยภาพที่กว้างขวางและความสามารถที่ไม่เคยเปิดเผยมาก่อน ทำให้มันแตกต่างจากภัยคุกคามที่ซับซ้อนมากขึ้น คุณลักษณะเด่นอย่างหนึ่งของมันคือความสามารถในการย้ายเหยื่อไปยังตัวควบคุมทางเลือก ช่วยให้ผู้ไม่หวังดีที่อยู่เบื้องหลังมัลแวร์สามารถรักษาการสื่อสารกับเครื่องที่ถูกบุกรุกได้ในขณะที่หลบเลี่ยงการตรวจจับเป็นระยะเวลานาน ที่น่าสังเกตคือ มีกรณีที่เหยื่อโต้ตอบกับเซิร์ฟเวอร์ Decoy Dog โดยไม่เจตนาเป็นเวลานานกว่าหนึ่งปี ซึ่งเน้นให้เห็นถึงการลักลอบและความยืดหยุ่นของซอฟต์แวร์ที่เป็นอันตรายนี้

มัลแวร์ Decoy Dog มาพร้อมกับชุดฟีเจอร์ที่คุกคามเพิ่มเติม

มัลแวร์ Decoy Dog ที่เพิ่งค้นพบเมื่อเร็วๆ นี้ มีฟังก์ชันการทำงานใหม่ๆ มากมายที่ทำให้มันแตกต่างออกไป โดยเฉพาะอย่างยิ่ง ตอนนี้ Decoy Dog มีความสามารถในการเรียกใช้โค้ด Java ตามอำเภอใจบนไคลเอ็นต์ ทำให้สามารถทำงานได้หลากหลายมากขึ้น

นอกจากนี้ มัลแวร์ยังติดตั้งกลไกที่คล้ายกับอัลกอริธึมการสร้างโดเมน DNS (DGA) แบบดั้งเดิมเพื่อเชื่อมต่อกับตัวควบคุมฉุกเฉิน กลไกนี้เกี่ยวข้องกับวิศวกรรมโดเมน Decoy Dog เพื่อตอบสนองต่อการค้นหา DNS ที่เล่นซ้ำซึ่งมีต้นกำเนิดจากไคลเอนต์ที่ถูกละเมิด ด้วยวิธีการนี้ ผู้ประสงค์ร้ายที่อยู่เบื้องหลัง Decoy Dog สามารถเปลี่ยนเส้นทางการสื่อสารของอุปกรณ์ที่ถูกบุกรุกจากตัวควบคุมปัจจุบันไปยังอุปกรณ์อื่นได้อย่างมีประสิทธิภาพ คำสั่งที่สำคัญนี้จะสั่งให้อุปกรณ์ที่ถูกบุกรุกหยุดการสื่อสารกับคอนโทรลเลอร์ปัจจุบันและติดต่อกับคอนโทรลเลอร์ใหม่

การค้นพบชุดเครื่องมือที่ซับซ้อนนี้เกิดขึ้นในช่วงต้นเดือนเมษายน 2023 โดยได้รับแจ้งจากการตรวจจับกิจกรรมบีคอน DNS ที่ผิดปกติ การเปิดเผยนี้ทำให้เห็นถึงการโจมตีแบบกำหนดเป้าหมายสูงของมัลแวร์ที่มุ่งเป้าไปที่เครือข่ายขององค์กรโดยเฉพาะ

อาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ Decoy Dog อาจกำหนดเป้าหมายไปยังภูมิภาคเฉพาะ

ต้นกำเนิดของ Decoy Dog ยังไม่เป็นที่แน่ชัด แต่คาดว่าน่าจะดำเนินการโดยกลุ่มแฮ็กเกอร์ระดับรัฐของประเทศ แฮ็กเกอร์เหล่านี้ใช้กลยุทธ์ที่แตกต่างกันในขณะที่ตอบสนองต่อคำขอขาเข้าที่สอดคล้องกับโครงสร้างการสื่อสารกับลูกค้า ทำให้เป็นภัยคุกคามที่มีศักยภาพและเข้าใจยากในภูมิทัศน์ความปลอดภัยทางไซเบอร์

Decoy Dog ใช้ระบบชื่อโดเมน (DNS) อย่างมีประสิทธิภาพสำหรับการดำเนินการ Command-and-Control (C2) เมื่ออุปกรณ์ถูกโจมตีโดยมัลแวร์ อุปกรณ์จะสร้างการสื่อสารกับตัวควบคุมที่กำหนด (เซิร์ฟเวอร์) ผ่านการสอบถาม DNS และการตอบสนองที่อยู่ IP โดยรับคำแนะนำจากตัวควบคุม

หลังจากถูกเปิดเผยโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง Decoy Dog ได้ดำเนินการอย่างรวดเร็วโดยการปิดเซิร์ฟเวอร์ชื่อ DNS บางตัวและลงทะเบียนโดเมนทดแทนใหม่โดยทันทีเพื่อให้มั่นใจถึงการคงอยู่จากระยะไกลและการควบคุมอย่างต่อเนื่อง สิ่งนี้ทำให้พวกเขาสามารถถ่ายโอนไคลเอนต์ที่ถูกบุกรุกไปยังผู้ควบคุมรายใหม่ ซึ่งแสดงให้เห็นถึงความมุ่งมั่นของพวกเขาที่จะรักษาการเข้าถึงเหยื่อของพวกเขา

การปรับใช้ครั้งแรกของ Decoy Dog ย้อนกลับไปในช่วงปลายเดือนมีนาคมหรือต้นเดือนเมษายน 2565 ตั้งแต่นั้นมา มีการตรวจพบกลุ่มมัลแวร์อีกสามกลุ่ม ซึ่งแต่ละกลุ่มดำเนินการโดยตัวควบคุมที่แตกต่างกัน จนถึงขณะนี้ มีการระบุโดเมน Decoy Dog ทั้งหมด 21 โดเมน นอกจากนี้ ผู้ควบคุมหนึ่งชุดที่ลงทะเบียนตั้งแต่เดือนเมษายน 2023 ได้ปรับกลยุทธ์โดยใช้เทคนิค geofencing เทคนิคนี้จำกัดการตอบสนองต่อที่อยู่ IP ของไคลเอ็นต์ให้อยู่ในตำแหน่งทางภูมิศาสตร์ที่เฉพาะเจาะจง โดยกิจกรรมที่สังเกตได้จะจำกัดเฉพาะภูมิภาคในรัสเซียและยุโรปตะวันออกเป็นหลัก