Malware til lokkehunde

Efter at have gennemført en omfattende undersøgelse af den nyligt identificerede malware, lokkehunden, har cybersikkerhedsforskere afsløret, at den repræsenterer et betydeligt fremskridt sammenlignet med dets grundlag, open source-fjernadgangstrojanen Pupy RAT.

Lokkehunden udviser en omfattende række af potente og hidtil ukendte egenskaber, der adskiller den som en mere sofistikeret trussel. Blandt dets bemærkelsesværdige funktioner er kapaciteten til at flytte ofre til en alternativ controller, hvilket gør det muligt for dårligtsindede aktører bag malwaren at opretholde kommunikationen med kompromitterede maskiner, mens de undgår opdagelse i længere tid. Bemærkelsesværdigt har der været tilfælde, hvor ofre uforvarende har interageret med en Decoy Dog-server i mere end et år, hvilket fremhæver steality og modstandsdygtighed af denne ondsindede software.

Decoy Dog Malware er udstyret med et udvidet sæt truende funktioner

Den nyligt identificerede malware, Decoy Dog, kan prale af flere nye funktioner, der adskiller den. Især har lokkehunden nu evnen til at udføre vilkårlig Java-kode på klienten, hvilket giver den en mere omfattende række af handlinger.

Derudover er malwaren blevet udstyret med en mekanisme, der ligner en traditionel DNS-domænegenereringsalgoritme (DGA) til at oprette forbindelse til nødcontrollere. Denne mekanisme involverer konstruktion af Decoy Dog-domænerne til at svare på genafspillede DNS-forespørgsler, der stammer fra brudte klienter. Gennem denne tilgang kan de ondsindede aktører bag lokkehunden effektivt omdirigere kommunikationen af kompromitterede enheder fra deres nuværende controller til en anden. Denne kritiske kommando instruerer de kompromitterede enheder til at stoppe kommunikationen med den nuværende controller og etablere kontakt med en ny.

Opdagelsen af dette sofistikerede værktøjssæt fandt sted i begyndelsen af april 2023, foranlediget af påvisningen af unormal DNS-beaconing-aktivitet. Denne afsløring afslørede malwarens meget målrettede angreb specifikt rettet mod virksomhedsnetværk.

Cyberkriminelle bag lokkehundens malware kan målrette mod specifikke regioner

Lokkehundens oprindelse er ikke endeligt fastslået endnu, men den formodes at blive drevet af en udvalgt gruppe nationalstatshackere. Disse hackere anvender særskilte taktikker, mens de reagerer på indgående anmodninger, der stemmer overens med strukturen af klientkommunikation, hvilket gør det til en potent og undvigende trussel i cybersikkerhedslandskabet.

Lokkehunden bruger effektivt domænenavnesystemet (DNS) til sine Command-and-Control-operationer (C2). Når en enhed kompromitteres af denne malware, etablerer den kommunikation med en udpeget controller (server) gennem DNS-forespørgsler og IP-adressesvar og modtager instruktioner fra controlleren.

Efter at være blevet afsløret af cybersikkerhedseksperter, handlede trusselsaktørerne bag Decoy Dog hurtigt ved at fjerne visse DNS-navneservere og straks registrere nye erstatningsdomæner for at sikre ekstern vedholdenhed og fortsat kontrol. Dette gjorde det muligt for dem at overføre de eksisterende kompromitterede klienter til de nye controllere, hvilket demonstrerede deres vilje til at bevare adgangen til deres ofre.

Den første udrulning af lokkehunden går tilbage til slutningen af marts eller begyndelsen af april 2022. Siden da er tre andre klynger af malware blevet opdaget, hver drevet af en anden controller. Indtil videre er i alt 21 Decoy Dog-domæner blevet identificeret. Desuden har et sæt controllere, der er registreret siden april 2023, tilpasset sin taktik ved at implementere geofencing-teknikker. Denne teknik begrænser svar på klientens IP-adresser til specifikke geografiske placeringer, hvor den observerede aktivitet overvejende er begrænset til regioner i Rusland og Østeuropa.