Phần mềm độc hại chó mồi
Khi tiến hành kiểm tra toàn diện q phần mềm độc hại mới được xác định, Decoy Dog, các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng phần mềm này thể hiện một bước tiến đáng kể so với nền tảng của nó, trojan truy cập từ xa mã nguồn mở Pupy RAT.
Chó Mồi thể hiện một loạt các khả năng mạnh mẽ và chưa được tiết lộ trước đây, khiến nó trở thành một mối đe dọa tinh vi hơn. Trong số các tính năng đáng chú ý của nó là khả năng chuyển nạn nhân sang một bộ điều khiển thay thế, cho phép những kẻ xấu đằng sau phần mềm độc hại duy trì liên lạc với các máy bị xâm nhập trong khi trốn tránh bị phát hiện trong thời gian dài. Đáng chú ý, đã có những trường hợp nạn nhân vô tình tương tác với máy chủ Decoy Dog trong hơn một năm, cho thấy khả năng tàng hình và khả năng phục hồi của phần mềm độc hại này.
Phần mềm độc hại Decoy Dog được trang bị một bộ tính năng đe dọa mở rộng
Phần mềm độc hại được xác định gần đây, Decoy Dog, tự hào có một số chức năng mới khiến nó trở nên khác biệt. Đáng chú ý, Decoy Dog hiện sở hữu khả năng thực thi mã Java tùy ý trên máy khách, giúp nó có nhiều hành động hơn.
Ngoài ra, phần mềm độc hại đã được trang bị một cơ chế giống như thuật toán tạo miền DNS truyền thống (DGA) để kết nối với bộ điều khiển khẩn cấp. Cơ chế này liên quan đến việc thiết kế các miền Con chó nhử mồi để phản hồi các truy vấn DNS được phát lại bắt nguồn từ các máy khách bị vi phạm. Thông qua cách tiếp cận này, các tác nhân độc hại đằng sau Con chó nhử mồi có thể định tuyến lại một cách hiệu quả quá trình liên lạc của các thiết bị bị xâm nhập từ bộ điều khiển hiện tại của chúng sang bộ điều khiển khác. Lệnh quan trọng này hướng dẫn các thiết bị bị xâm nhập ngừng giao tiếp với bộ điều khiển hiện tại và thiết lập liên lạc với một thiết bị mới.
Việc phát hiện ra bộ công cụ tinh vi này xảy ra vào đầu tháng 4 năm 2023, được thúc đẩy bởi việc phát hiện hoạt động báo hiệu DNS bất thường. Tiết lộ này đã làm sáng tỏ các cuộc tấn công có mục tiêu cao của phần mềm độc hại, đặc biệt nhắm vào các mạng doanh nghiệp.
Tội phạm mạng đằng sau phần mềm độc hại Decoy Dog có thể nhắm mục tiêu các khu vực cụ thể
Nguồn gốc của Decoy Dog vẫn chưa được xác định chắc chắn, nhưng nó bị nghi ngờ là do một nhóm tin tặc quốc gia chọn lọc vận hành. Những tin tặc này sử dụng các chiến thuật riêng biệt trong khi phản hồi các yêu cầu gửi đến phù hợp với cấu trúc giao tiếp của khách hàng, khiến nó trở thành mối đe dọa tiềm tàng và khó nắm bắt trong bối cảnh an ninh mạng.
Con chó Mồi sử dụng hiệu quả hệ thống tên miền (DNS) cho các hoạt động Chỉ huy và Kiểm soát (C2) của nó. Khi một thiết bị bị phần mềm độc hại này xâm nhập, thiết bị sẽ thiết lập giao tiếp với bộ điều khiển được chỉ định (máy chủ) thông qua truy vấn DNS và phản hồi địa chỉ IP, nhận hướng dẫn từ bộ điều khiển.
Sau khi bị các chuyên gia an ninh mạng vạch trần, các tác nhân đe dọa đằng sau Con chó nhử mồi đã hành động nhanh chóng bằng cách gỡ bỏ một số máy chủ tên DNS nhất định và nhanh chóng đăng ký các miền thay thế mới để đảm bảo khả năng duy trì và kiểm soát liên tục từ xa. Điều này cho phép họ chuyển các máy khách bị xâm phạm hiện có sang bộ điều khiển mới, thể hiện quyết tâm duy trì quyền truy cập vào nạn nhân của họ.
Quá trình triển khai ban đầu của Con chó nhử bắt đầu từ cuối tháng 3 hoặc đầu tháng 4 năm 2022. Kể từ đó, ba cụm phần mềm độc hại khác đã được phát hiện, mỗi cụm do một bộ điều khiển khác vận hành. Cho đến nay, tổng cộng 21 tên miền của Decoy Dog đã được xác định. Ngoài ra, một nhóm bộ điều khiển được đăng ký từ tháng 4 năm 2023 đã điều chỉnh chiến thuật của mình bằng cách triển khai các kỹ thuật định vị địa lý. Kỹ thuật này hạn chế các phản hồi đối với địa chỉ IP của khách hàng ở các vị trí địa lý cụ thể, với hoạt động được quan sát chủ yếu giới hạn ở các khu vực ở Nga và Đông Âu.
