Decoy Dog Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, yeni tanımlanan kötü amaçlı yazılım Decoy Dog'un kapsamlı bir incelemesini yürüttükten sonra, açık kaynaklı uzaktan erişim truva atı Pupy RAT olan temeline kıyasla önemli bir ilerlemeyi temsil ettiğini ortaya çıkardı.
Decoy Dog, onu daha karmaşık bir tehdit olarak ayıran, çok çeşitli güçlü ve daha önce açıklanmayan yetenekler sergiliyor. Dikkate değer özellikleri arasında, kurbanları alternatif bir denetleyiciye taşıma kapasitesi, kötü amaçlı yazılımın arkasındaki kötü niyetli aktörlerin güvenliği ihlal edilmiş makinelerle iletişimi sürdürürken uzun süre tespitten kaçmalarına olanak tanır. Dikkat çekici bir şekilde, kurbanların bir yılı aşkın bir süredir farkında olmadan bir Decoy Dog sunucusuyla etkileşimde bulunduğu ve bu kötü amaçlı yazılımın gizliliğini ve dayanıklılığını vurgulayan durumlar olmuştur.
Decoy Dog Kötü Amaçlı Yazılımı, Genişletilmiş Bir dizi Tehdit Özelliği ile Donatılmıştır
Yakın zamanda tanımlanan kötü amaçlı yazılım Decoy Dog, kendisini diğerlerinden ayıran birçok yeni işleve sahiptir. Bilhassa, Decoy Dog artık istemcide isteğe bağlı Java kodunu yürütme yeteneğine sahip ve ona daha geniş bir eylem yelpazesi sağlıyor.
Ek olarak, kötü amaçlı yazılım, acil durum denetleyicilerine bağlanmak için geleneksel bir DNS etki alanı oluşturma algoritmasına (DGA) benzeyen bir mekanizma ile donatılmıştır. Bu mekanizma, ihlal edilen istemcilerden kaynaklanan tekrar oynatılan DNS sorgularına yanıt vermek için Decoy Dog etki alanlarının tasarlanmasını içerir. Bu yaklaşım sayesinde, Decoy Dog'un arkasındaki kötü niyetli aktörler, güvenliği ihlal edilmiş cihazların iletişimini mevcut denetleyicilerinden diğerine etkili bir şekilde yeniden yönlendirebilir. Bu kritik komut, güvenliği ihlal edilmiş cihazlara mevcut denetleyiciyle iletişimi kesmeleri ve yenisiyle iletişim kurmaları talimatını verir.
Bu gelişmiş araç setinin keşfi, anormal DNS işaretleme etkinliğinin tespit edilmesiyle 2023 yılının Nisan ayı başlarında gerçekleşti. Bu açıklama, kötü amaçlı yazılımın özellikle kurumsal ağları hedef alan yüksek düzeyde hedefli saldırılarını gün ışığına çıkardı.
Decoy Dog Kötü Amaçlı Yazılımının arkasındaki siber suçlular Belirli Bölgeleri Hedefleyebilir
Decoy Dog'un kökenleri henüz kesin olarak belirlenmedi, ancak seçilmiş bir grup ulus-devlet bilgisayar korsanı tarafından işletildiğinden şüpheleniliyor. Bu bilgisayar korsanları, müşteri iletişiminin yapısıyla uyumlu gelen isteklere yanıt verirken farklı taktikler kullanır ve bu da onu siber güvenlik ortamında güçlü ve yakalanması zor bir tehdit haline getirir.
Decoy Dog, Komuta ve Kontrol (C2) işlemleri için alan adı sistemini (DNS) etkin bir şekilde kullanır. Bir cihazın güvenliği bu kötü amaçlı yazılım tarafından ele geçirildiğinde, denetleyiciden talimatlar alarak DNS sorguları ve IP adresi yanıtları yoluyla belirlenmiş bir denetleyici (sunucu) ile iletişim kurar.
Siber güvenlik uzmanları tarafından ifşa edildikten sonra, Decoy Dog'un arkasındaki tehdit aktörleri, uzaktan kalıcılık ve sürekli kontrol sağlamak için belirli DNS ad sunucularını devre dışı bırakarak ve yeni yedek etki alanlarını hemen kaydederek hızlı bir şekilde harekete geçti. Bu, tehlikeye atılmış mevcut istemcileri yeni denetleyicilere aktarmalarına olanak tanıdı ve kurbanlarına erişimi sürdürme kararlılıklarını gösterdi.
Decoy Dog'un ilk dağıtımı, 2022 Mart sonu veya Nisan başına kadar uzanıyor. O zamandan beri, her biri farklı bir denetleyici tarafından çalıştırılan üç kötü amaçlı yazılım kümesi daha tespit edildi. Şimdiye kadar toplam 21 Decoy Dog alanı tespit edildi. Ayrıca, Nisan 2023'ten bu yana kayıtlı olan bir kontrolör grubu, taktiklerini coğrafi sınırlama tekniklerini uygulayarak uyarlamıştır. Bu teknik, istemci IP adreslerine verilen yanıtları belirli coğrafi konumlarla sınırlandırır ve gözlemlenen etkinlik ağırlıklı olarak Rusya ve Doğu Avrupa'daki bölgelerle sınırlıdır.
