Dublja analiza nedavno otkrivenog malicioznog softvera nazvanog Decoy Dog otkrila je da je to značajna nadogradnja u odnosu na Pupy RAT, trojanac otvorenog koda za daljinski pristup po kojem je modeliran.
“Decoy Dog ima cijeli paket moćnih, do sada nepoznatih mogućnosti – uključujući mogućnost premještanja žrtava na drugi kontroler, omogućavajući im da održavaju komunikaciju s kompromitovanim mašinama i ostanu skriveni u dužem vremenskom periodu”, navodi Infoblox u izvještaju od utorka. “Neke žrtve su aktivno komunicirale sa serverom Decoy Dog-a više od godinu dana.”
Ostale nove funkcije omogućavaju malicioznom softveru da izvrši proizvoljni Java kod na klijentu i poveže se s kontrolerima za hitne slučajeve koristeći mehanizam koji je sličan tradicionalnom algoritmu za generiranje DNS domena (DGA), s domenima Decoy Dog dizajniranim da odgovore na ponovno reprodukovane DNS upite od probijenih klijenata.
Sofisticirani komplet alata je prvi put otkrila kompanija za kiberbetičku sigurnost početkom aprila 2023. godine nakon što je otkrila anomalnu aktivnost DNS beaconinga, otkrivajući njegove visoko ciljane napade na poslovne mreže.
Porijeklo Decoy Dog-a još uvijek je nejasno, ali se sumnja da njime upravlja šačica hakera iz nacionalne države, koji koriste različite taktike, ali odgovaraju na dolazne zahtjeve koji odgovaraju strukturi klijentske komunikacije.
Decoy Dog koristi sistem imena domena (DNS) za obavljanje komandi i kontrole (C2). Krajnja tačka koja je ugrožena malverom komunicira sa kontrolerom (tj. serverom) i prima uputstva od njega putem DNS upita i odgovora na IP adresu.
Kaže se da su hakeri koji stoje iza operacije izvršili brza prilagođavanja svoje napadačke infrastrukture kao odgovor na ranija otkrića, ukidajući neke od DNS servera imena, kao i registrirajući nove zamjenske domene kako bi uspostavili postojanost na daljinu.
“Umjesto da ugasi njihov rad, haker je prenio postojeće kompromitovane klijente na nove kontrolere”, napominje Infoblox. “Ovo je izvanredan odgovor koji pokazuje da je haker smatrao potrebnim da zadrži pristup svojim postojećim žrtvama.”
Prvo poznato postavljanje Decoy Dog-a datira iz kraja marta ili početka aprila 2022. godine, nakon čega su otkrivena još tri klastera kao pod kontrolom različitih kontrolora. Do danas je otkrivena ukupno 21 domena Decoy Dog.
Štaviše, jedan set kontrolora registrovanih od aprila 2023. godine prilagodio se ugradnjom tehnike geofencinga kako bi se ograničili odgovori na IP adrese klijenata na određene lokacije, sa uočenom aktivnošću ograničenom na Rusiju i istočnu Evropu.
“Nedostatak uvida u osnovne sisteme žrtava i ranjivosti koje se iskorištavaju čini mamcem trajnom i ozbiljnom prijetnjom”, rekla je dr. Renée Burton, šefica obavještajne službe u Infobloxu. “Najbolja odbrana od ovog malicioznog softvera je DNS.”
Izvor: The Hacker News