诱饵狗恶意软件

在对新发现的恶意软件 Decoy Dog 进行全面检查后，网络安全研究人员发现，与它的基础——开源远程访问木马Pupy RAT 相比，它代表了相当大的进步。

诱饵狗展示了一系列先前未公开的强大能力，使其成为一种更复杂的威胁。其显着的功能之一是能够将受害者重新定位到替代控制器，使恶意软件背后的恶意行为者能够与受感染的机器保持通信，同时长时间逃避检测。值得注意的是，在某些情况下，受害者在一年多的时间里无意中与诱饵狗服务器进行了交互，这凸显了这种恶意软件的隐蔽性和恢复能力。

诱饵狗恶意软件配备了一组扩展的威胁功能

最近发现的恶意软件 Decoy Dog 拥有多种使其与众不同的新颖功能。值得注意的是，Decoy Dog 现在拥有在客户端执行任意 Java 代码的能力，从而赋予其更广泛的操作范围。

此外，该恶意软件还配备了类似于传统 DNS 域生成算法 (DGA) 的机制来连接到紧急控制器。该机制涉及设计诱饵狗域来响应来自被破坏客户端的重播 DNS 查询。通过这种方法，诱饵狗背后的恶意行为者可以有效地将受感染设备的通信从当前控制器重新路由到另一个控制器。这一关键命令指示受感染的设备停止与当前控制器的通信并与新控制器建立联系。

这个复杂的工具包于 2023 年 4 月上旬被发现，原因是检测到异常 DNS 信标活动。这一揭露揭示了该恶意软件专门针对企业网络的高度针对性的攻击。

诱饵狗恶意软件背后的网络犯罪分子可能会针对特定区域

诱饵狗的起源尚未明确，但怀疑它是由一群选定的民族国家黑客操纵的。这些黑客在响应与客户端通信结构一致的入站请求时采用独特的策略，使其成为网络安全领域中潜在且难以捉摸的威胁。

诱饵狗有效地利用域名系统 (DNS) 进行命令与控制 (C2) 操作。当设备受到该恶意软件的攻击时，它会通过 DNS 查询和 IP 地址响应与指定控制器（服务器）建立通信，并接收来自控制器的指令。

在被网络安全专家曝光后，“诱饵狗”背后的威胁行为者迅速采取行动，关闭了某些 DNS 域名服务器，并及时注册新的替换域名，以确保远程持久性和持续控制。这使他们能够将现有的受感染客户端转移给新的控制者，表明他们维持对受害者的访问的决心。

Decoy Dog 的首次部署可以追溯到 2022 年 3 月底或 4 月初。此后，又检测到了其他三个恶意软件集群，每个集群都由不同的控制器操作。到目前为止，总共已识别出 21 个 Decoy Dog 域名。此外，自 2023 年 4 月以来注册的一组控制器已通过实施地理围栏技术来调整其策略。该技术将对客户端 IP 地址的响应限制在特定地理位置，观察到的活动主要限于俄罗斯和东欧地区。