Зловмисне програмне забезпечення Decoy Dog

Провівши комплексне дослідження q нещодавно виявленого зловмисного програмного забезпечення, Decoy Dog, дослідники кібербезпеки виявили, що воно є значним прогресом порівняно з його основою, трояном віддаленого доступу з відкритим кодом Pupy RAT.

Собака-приманка демонструє широкий набір потужних і раніше нерозкритих можливостей, що виділяє його як більш складну загрозу. Серед його чудових особливостей — здатність переміщувати жертв до альтернативного контролера, що дозволяє зловмисникам, які стоять за шкідливим програмним забезпеченням, підтримувати зв’язок із скомпрометованими машинами, уникаючи виявлення протягом тривалого часу. Примітно, що були випадки, коли жертви мимоволі взаємодіяли з сервером Decoy Dog більше року, що підкреслює скритність і стійкість цього шкідливого програмного забезпечення.

Зловмисне програмне забезпечення Decoy Dog оснащено розширеним набором загрозливих функцій

Нещодавно виявлена шкідлива програма Decoy Dog може похвалитися декількома новими функціями, які відрізняють її від інших. Примітно, що Decoy Dog тепер має можливість виконувати довільний код Java на клієнті, надаючи йому більш широкий спектр дій.

Крім того, зловмисне програмне забезпечення було оснащено механізмом, що нагадує традиційний алгоритм генерації домену DNS (DGA) для підключення до екстрених контролерів. Цей механізм передбачає розробку доменів Decoy Dog для відповіді на відтворені запити DNS, що надходять від зламаних клієнтів. Завдяки цьому підходу зловмисники, що стоять за Decoy Dog, можуть ефективно перенаправляти зв’язок скомпрометованих пристроїв від поточного контролера до іншого. Ця важлива команда наказує скомпрометованим пристроям припинити зв’язок із поточним контролером і встановити зв’язок із новим.

Відкриття цього складного інструментарію відбулося на початку квітня 2023 року, викликане виявленням аномальної активності DNS-маяка. Це виявлення виявило цілеспрямовані атаки зловмисного програмного забезпечення, спеціально спрямовані на корпоративні мережі.

Кіберзлочинці, що стоять за зловмисним програмним забезпеченням Decoy Dog, можуть націлюватися на певні регіони

Походження Decoy Dog ще остаточно не встановлено, але підозрюють, що ним керує вибрана група хакерів з національних держав. Ці хакери використовують різні тактики, відповідаючи на вхідні запити, які відповідають структурі спілкування клієнта, що робить його потужною та невловимою загрозою в системі кібербезпеки.

Decoy Dog ефективно використовує систему доменних імен (DNS) для своїх операцій командування та контролю (C2). Коли пристрій скомпрометовано цим зловмисним програмним забезпеченням, він встановлює зв’язок із призначеним контролером (сервером) через DNS-запити та відповіді на IP-адресу, отримуючи інструкції від контролера.

Після викриття експертами з кібербезпеки зловмисники, які стоять за Decoy Dog, діяли швидко, вимкнувши певні DNS-сервери імен і негайно зареєструвавши нові замінні домени, щоб забезпечити віддалену стійкість і постійний контроль. Це дозволило їм перенести існуючих скомпрометованих клієнтів до нових контролерів, продемонструвавши свою рішучість зберегти доступ до своїх жертв.

Початкове розгортання Decoy Dog датується кінцем березня або початком квітня 2022 року. З того часу було виявлено три інших кластери зловмисного програмного забезпечення, кожен з яких керував іншим контролером. Наразі ідентифіковано 21 домен Decoy Dog. Крім того, одна група контролерів, зареєстрована з квітня 2023 року, адаптувала свою тактику, запровадивши методи геозонування. Ця техніка обмежує відповіді на IP-адреси клієнта певними географічними місцями, причому спостережувана діяльність переважно обмежена регіонами Росії та Східної Європи.