Η εργαλειοθήκη Decoy Dog malware βρέθηκε μετά από ανάλυση 70 δισεκατομμυρίων DNS queries

Μια νέα εργαλειοθήκη κακόβουλου λογισμικού που στοχεύει σε επιχειρήσεις με την ονομασία “Decoy Dog” ανακαλύφθηκε μετά την επιθεώρηση ανώμαλης κυκλοφορίας DNS που διακρίνεται από την κανονική δραστηριότητα στο Διαδίκτυο.

Δείτε επίσης: Bumblebee malware: Διανέμεται μέσω Google Ads και χρησιμοποιείται για επιθέσεις ransomware

Το Decoy Dog βοηθά τους απειλητικούς φορείς να αποφύγουν τις τυπικές μεθόδους ανίχνευσης μέσω της στρατηγικής domain aging και του DNS query dribbling, με στόχο να δημιουργήσουν μια καλή φήμη με τους προμηθευτές ασφάλειας πριν μεταβούν για να διευκολύνουν τις επιχειρήσεις ηλεκτρονικού εγκλήματος.

Οι ερευνητές της Infoblox ανακάλυψαν την εργαλειοθήκη στις αρχές Απριλίου του 2023 στο πλαίσιο της ανάλυσης πάνω από 70 δισεκατομμυρίων εγγραφών DNS καθημερινά, αναζητώντας ενδείξεις μη φυσιολογικής ή ύποπτης δραστηριότητας.

Η Infoblox αναφέρει ότι το δακτυλικό αποτύπωμα DNS του Decoy Dog είναι εξαιρετικά σπάνιο και μοναδικό μεταξύ των 370 εκατομμυρίων ενεργών domains στο διαδίκτυο, καθιστώντας ευκολότερο τον εντοπισμό και την παρακολούθησή του.

Ως εκ τούτου, η έρευνα για την υποδομή του Decoy Dog οδήγησε γρήγορα στην ανακάλυψη πολλών C2 domain (διοίκηση και έλεγχος) που συνδέονται με την ίδια επιχείρηση, με τις περισσότερες επικοινωνίες από αυτούς τους servers να προέρχονται από hosts στη Ρωσία.

Περαιτέρω έρευνα αποκάλυψε ότι τα DNS tunnels σε αυτά τα domain είχαν χαρακτηριστικά που παρέπεμπαν στο Pupy RAT, ένα remote access trojan που αναπτύσσεται από την εργαλειοθήκη Decoy Dog.

Δείτε επίσης: Hackers παραβιάζουν δίκτυα χρησιμοποιώντας δεδομένα σε εταιρικά routers

Το PuppyRAT είναι μια αρθρωτή εργαλειοθήκη post-exploitation ανοιχτού κώδικα που είναι δημοφιλής μεταξύ των κρατικών φορέων απειλών λόγω της μυστικότητας (χωρίς αρχεία), της υποστήριξης κρυπτογραφημένων επικοινωνιών C2 και της ικανότητάς της να αναμειγνύει τις δραστηριότητές τους με άλλους χρήστες του εργαλείου.

Το project PuPy RAT υποστηρίζει payloads σε όλα τα μεγάλα λειτουργικά συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και Android. Όπως και με άλλα RATs, δίνει τη δυνατότητα στους απειλητικούς φορείς να εκτελούν εντολές εξ αποστάσεως, να αποκτούν αυξημένα προνόμια, να κλέβουν credentials και να εξαπλώνονται πλευρικά σε ένα δίκτυο.

Οι λιγότερο εξειδικευμένοι φορείς δεν χρησιμοποιούν το Puppy RAT, καθώς η ανάπτυξη του εργαλείου με τη σωστή διαμόρφωση του διακομιστή DNS για επικοινωνίες C2 απαιτεί γνώση και εμπειρία.

Επιπλέον, οι αναλυτές ανακάλυψαν μια ξεχωριστή συμπεριφορά DNS beaconing σε όλα τα Decoy Dog domain που είχε ρυθμιστεί να ακολουθεί ένα συγκεκριμένο μοτίβο περιοδικής αλλά σπάνιας δημιουργίας αιτημάτων DNS.

Δείτε επίσης: Η Yellow Pages Canada επιβεβαιώνει την κυβερνοεπίθεση καθώς η BlackBasta διαρρέει τα data της

Οι έρευνες των στοιχείων hosting και καταχώρισης domain αποκάλυψαν ότι η επιχείρηση Decoy Dog ήταν σε εξέλιξη από τις αρχές Απριλίου του 2022, οπότε παρέμεινε κάτω από το ραντάρ για πάνω από ένα χρόνο, παρά το γεγονός ότι τα domain της εργαλειοθήκης εμφάνιζαν ακραίες τιμές στις αναλύσεις.

Η ανακάλυψη του Decoy Dog καταδεικνύει τη δύναμη της χρήσης ανάλυσης δεδομένων μεγάλης κλίμακας για τον εντοπισμό ανώμαλης δραστηριότητας στην απεραντοσύνη του Διαδικτύου.

“Επειδή η κατάσταση είναι πολύπλοκη και έχουμε επικεντρωθεί στις πτυχές της ανακάλυψης των DNS, αναμένουμε περισσότερες λεπτομέρειες από τη βιομηχανία, καθώς και από εμάς τους ίδιους, στο μέλλον.”

Η εταιρεία έχει επίσης μοιραστεί indicators of compromise στο δημόσιο αποθετήριο GitHub, το οποίο μπορεί να χρησιμοποιηθεί για τη χειροκίνητη προσθήκη σε λίστες αποκλεισμού.

Πηγή πληροφοριών: bleepingcomputer.com