Задълбочен анализ на наскоро открит зловреден софтуер, наречен Decoy Dog (куче примамка), разкри, че той е значително подобрен спрямо Pupy RAT – троянски кон за отдалечен достъп с отворен код, който е създаден по негов модел.
„Decoy Dog има пълен набор от мощни, непознати досега възможности – включително способността да премества жертвите на друг контролер, което им позволява да поддържат комуникация с компрометираните машини и да останат скрити за дълги периоди от време“, казва Infoblox в доклад от вторник. „Някои жертви са комуникирали активно със сървър на Decoy Dog в продължение на повече от година.“
Други нови функции позволяват на зловредния софтуер да изпълнява произволен Java код на клиента и да се свързва с контролери за спешни случаи, като използва механизъм, който е подобен на традиционния алгоритъм за генериране на DNS домейни (DGA), като домейните на Decoy Dog са разработени така, че да отговарят на възпроизведени DNS заявки от пробити клиенти.
„Decoy Dog е добавила функционалност, която не е налична в Pupy“, казва д-р Рене Бъртън, ръководител на отдела за разузнаване на заплахи в Infoblox, пред The Hacker News. „По-специално, то има команда, която казва на компрометираното устройство да спре да говори с текущия контролер и да започне да говори с друг контролер. Можем да определим това с помощта на статистически анализ на DNS заявките“.
Сложният инструментариум е открит за първи път от фирмата за киберсигурност в началото на април 2023 г. след засичане на аномална активност на DNS маяците, което разкрива силно насочените му атаки срещу корпоративни мрежи.
Произходът на Decoy Dog засега остава неясен, но се предполага, че се управлява от шепа хакери от национални държави, които използват различни тактики, но отговарят на входящи заявки, които съответстват на структурата на комуникацията с клиента.
Decoy Dog използва системата за имена на домейни (DNS), за да осъществява командване и контрол (C2). Крайната точка, която е компрометирана от зловредния софтуер, комуникира с контролер (т.е. сървър) и получава инструкции от него чрез DNS заявки и отговори на IP адреси.
Твърди се, че участниците в заплахата, които стоят зад операцията, са направили бързи корекции в инфраструктурата си за атаки в отговор на по-ранните разкрития, като са свалили някои от DNS сървърите за имена, както и са регистрирали нови заместващи домейни, за да установят дистанционна устойчивост.
„Вместо да прекрати дейността си, участникът прехвърля съществуващите компрометирани клиенти към новите контролери“, отбелязва Infoblox. „Това е изключителна реакция, която показва, че извършителят е сметнал за необходимо да запази достъпа до съществуващите си жертви.“
Първото известно разгръщане на Decoy Dog датира от края на март или началото на април 2022 г., след което са открити три други клъстера, които са под контрола на различни контролери. Към днешна дата са открити общо 21 домейна на Decoy Dog.
Нещо повече, един набор от контролери, регистрирани от април 2023 г., се е адаптирал, като е включил техника за геофенсинг, за да ограничи отговорите към клиентски IP адреси до определени местоположения, като наблюдаваната активност е ограничена до Русия и Източна Европа.
„Липсата на разбиране за основните системи на жертвите и уязвимостите, които се използват, прави Decoy Dog постоянна и сериозна заплаха“, казва Бъртън. „Най-добрата защита срещу този зловреден софтуер е DNS.“
„Очакваме участниците да се променят самостоятелно въз основа на новите доклади. Участниците могат да променят някои аспекти на своя C2, например кодирането, сравнително лесно, но други елементи са трудни за промяна и са присъщи на избора им на DNS като C2 механизъм.“
„Истинският въпрос е защо те са избрали да модифицират Pupy за своя C2? Какво е това в този RAT, от което те се нуждаят или което желаят за тези операции? Има много други избори, но те са направили този, когато не е известно друго злонамерено внедряване на Pupy в миналото. Как ще реагират на нашата актуализация ще зависи от това защо са избрали да направят или използват Decoy Dog на първо място.“
