Uma análise mais profunda de um malware descoberto recentemente chamado Decoy Dog revelou que é uma atualização significativa em relação ao Pupy RAT, um trojan de acesso remoto de código aberto no qual é modelado.
“O Decoy Dog tem um conjunto completo de recursos poderosos e até então desconhecidos – incluindo a capacidade de mover as vítimas para outro controle, permitindo que elas mantenham a comunicação com máquinas comprometidas e permaneçam ocultas por longos períodos de tempo”, disse a Infoblox em um relatório de terça-feira. “Algumas vítimas se comunicam ativamente com um servidor da Decoy Dog há mais de um ano.”
Outros novos recursos permitem que o malware execute código Java arbitrário no cliente e se conecte a controladores de emergência usando um mecanismo semelhante a um algoritmo de geração de domínio DNS tradicional (DGA), com os domínios Decoy Dog projetados para responder a consultas DNS repetidas de clientes violados.
O sofisticado kit de ferramentas foi descoberto pela empresa de segurança cibernética no início de abril de 2023 após detectar atividades anômalas de beacon de DNS, revelando seus ataques altamente direcionados contra redes corporativas.
As origens do Decoy Dog ainda não estão claras, mas suspeita-se que seja operado por um punhado de hackers do estado-nação, que empregam táticas distintas, mas respondem a solicitações de entrada que correspondem à estrutura de comunicação do cliente.
O Decoy Dog faz uso do sistema de nomes de domínio (DNS) para executar o comando e controle (C2). Um ponto de extremidade comprometido pelo malware se comunica e recebe instruções de um controlador (ou seja, um servidor) por meio de consultas DNS e respostas de endereço IP.
Os agentes de ameaças por trás da operação teriam feito ajustes rápidos em sua infraestrutura de ataque em resposta às divulgações anteriores, derrubando alguns dos servidores de nomes DNS, bem como registrando novos domínios de substituição para estabelecer persistência remota.
“Em vez de encerrar sua operação, o ator transferiu clientes comprometidos existentes para os novos controladores”, observou Infoblox. “Esta é uma resposta extraordinária que demonstra que o ator sentiu a necessidade de manter o acesso às suas vítimas existentes.”
A primeira implantação conhecida do Decoy Dog data do final de março ou início de abril de 2022, após o qual três outros clusters foram detectados como sob o controle de diferentes controladores. Um total de 21 domínios Decoy Dog foram detectados até o momento.
Além disso, um conjunto de controladores registrados desde abril de 2023 se adaptou incorporando uma técnica de geofencing para limitar as respostas a endereços IP de clientes a determinados locais, com atividade observada limitada à Rússia e Europa Oriental.
“A falta de informações sobre os sistemas de vítimas subjacentes e as vulnerabilidades que estão sendo exploradas torna o Decoy Dog uma ameaça contínua e séria”, disse a Dra. Renée Burton, chefe de inteligência de ameaças da Infoblox. “A melhor defesa contra esse malware é o DNS.”
Se você precisa de ajuda para avaliar e/ou elevar o seu nível de segurança, entre em contato com a 4Security, teremos prazer em direcionar um especialista para lhe atender.
