誘餌狗惡意軟件

在對新發現的惡意軟件 Decoy Dog 進行全面檢查後，網絡安全研究人員發現，與它的基礎——開源遠程訪問木馬Pupy RAT 相比，它代表了相當大的進步。

誘餌狗展示了一系列先前未公開的強大能力，使其成為一種更複雜的威脅。其顯著的功能之一是能夠將受害者重新定位到替代控制器，使惡意軟件背後的惡意行為者能夠與受感染的機器保持通信，同時長時間逃避檢測。值得注意的是，在某些情況下，受害者在一年多的時間裡無意中與誘餌狗服務器進行了交互，這凸顯了這種惡意軟件的隱蔽性和恢復能力。

誘餌狗惡意軟件配備了一組擴展的威脅功能

最近發現的惡意軟件 Decoy Dog 擁有多種使其與眾不同的新穎功能。值得注意的是，Decoy Dog 現在擁有在客戶端執行任意 Java 代碼的能力，從而賦予其更廣泛的操作範圍。

此外，該惡意軟件還配備了類似於傳統 DNS 域生成算法 (DGA) 的機制來連接到緊急控制器。該機制涉及設計誘餌狗域來響應來自被破壞客戶端的重播 DNS 查詢。通過這種方法，誘餌狗背後的惡意行為者可以有效地將受感染設備的通信從當前控制器重新路由到另一個控制器。這一關鍵命令指示受感染的設備停止與當前控制器的通信並與新控制器建立聯繫。

這個複雜的工具包於 2023 年 4 月上旬被發現，原因是檢測到異常 DNS 信標活動。這一揭露揭示了該惡意軟件專門針對企業網絡的高度針對性的攻擊。

誘餌狗惡意軟件背後的網絡犯罪分子可能會針對特定區域

誘餌狗的起源尚未明確，但懷疑它是由一群選定的民族國家黑客操縱的。這些黑客在響應與客戶端通信結構一致的入站請求時採用獨特的策略，使其成為網絡安全領域中潛在且難以捉摸的威脅。

誘餌狗有效地利用域名系統 (DNS) 進行命令與控制 (C2) 操作。當設備受到該惡意軟件的攻擊時，它會通過 DNS 查詢和 IP 地址響應與指定控制器（服務器）建立通信，並接收來自控制器的指令。

在被網絡安全專家曝光後，誘餌狗背後的威脅行為者迅速採取行動，關閉了某些 DNS 域名服務器並及時註冊新的替換域名，以確保遠程持久性和持續控制。這使他們能夠將現有的受感染客戶端轉移給新的控制者，表明他們維持對受害者的訪問的決心。

Decoy Dog 的首次部署可以追溯到 2022 年 3 月底或 4 月初。此後，又檢測到了其他三個惡意軟件集群，每個集群都由不同的控制器操作。到目前為止，總共已識別出 21 個 Decoy Dog 域名。此外，自 2023 年 4 月以來註冊的一組控制器已通過實施地理圍欄技術來調整其策略。該技術將對客戶端 IP 地址的響應限制在特定地理位置，觀察到的活動主要限於俄羅斯和東歐地區。