Uma análise mais aprofundada de um malware recentemente descoberto chamado Decoy Dog revelou que é uma atualização significativa sobre o Pupy RAT, um trojan de acesso remoto de código aberto no qual é baseado.
"Decoy Dog possui um conjunto completo de poderosas capacidades anteriormente desconhecidas - incluindo a capacidade de mover vítimas para outro controlador, permitindo-lhes manter a comunicação com máquinas comprometidas e permanecer ocultos por longos períodos de tempo", disse Infoblox em um relatório de terça-feira.
"Algumas vítimas comunicaram-se ativamente com um servidor Decoy Dog por mais de um ano."
Outros novos recursos permitem que o malware execute código Java arbitrário no cliente e se conecte a controladores de emergência usando um mecanismo semelhante a um algoritmo de geração de domínio DNS tradicional (DGA), com os domínios Decoy Dog criados para responder as consultas DNS reproduzidas de clientes violados.
"Decoy Dog adicionou funcionalidades que não estão disponíveis em Pupy," disse a Dra.
Renée Burton, chefe de inteligência de ameaças na Infoblox, ao The Hacker News.
"Especificamente, tem um comando que diz ao dispositivo comprometido para parar de falar com o controlador atual e começar a falar com outro controlador.
Conseguimos determinar isso usando análise estatística nas consultas DNS."
O sofisticado kit de ferramentas foi descoberto pela primeira vez pela empresa de cibersegurança em abril de 2023 depois de detectar atividade incomum de sinalização DNS, revelando seus ataques altamente direcionados contra redes empresariais.
As origens do Decoy Dog ainda são incertas, mas suspeita-se que seja operado por um pequeno grupo de hackers de estados-nação, que empregam táticas distintas, mas respondem a solicitações de entrada que correspondem à estrutura de comunicação do cliente.
Decoy Dog faz uso do sistema de nomes de domínio (DNS) para executar o comando e controle (C2).
Um endpoint que é comprometido pelo malware se comunica e recebe instruções de um controlador (ou seja, um servidor) por meio de consultas DNS e respostas de endereços IP.
Os atores da ameaça por trás da operação teriam feito ajustes rápidos em sua infraestrutura de ataque em resposta às divulgações anteriores, derrubando alguns dos servidores de nomes DNS, bem como registrando novos domínios substitutos para estabelecer persistência remota.
"Ao invés de encerrar sua operação, o ator transferiu clientes comprometidos existentes para os novos controladores", observou a Infoblox.
"Esta é uma resposta extraordinária demonstrando que o ator sentiu a necessidade de manter acesso às suas vítimas existentes."
A primeira implantação conhecida de Decoy Dog remonta ao final de março ou início de abril de 2022, após o que três outros clusters foram detectados sob o controle de diferentes controladores.
Um total de 21 domínios Decoy Dog foram detectados até o momento.
Além disso, um conjunto de controladores registrados desde abril de 2023 adaptou-se incorporando uma técnica de geocerca para limitar as respostas aos endereços IP dos clientes a determinados locais, com atividade observada limitada à Rússia e à Europa Oriental.
"A falta de visão sobre os sistemas vítimas subjacentes e as vulnerabilidades que estão sendo exploradas tornam o Decoy Dog uma ameaça constante e séria", disse Burton.
"A melhor defesa contra este malware é o DNS."
"Esperamos que os atores mudem independentemente com base no novo relatório.
Os atores podem alterar certos aspectos do C2 deles, por exemplo, codificações, de maneira bastante fácil, mas outros elementos são difíceis de mudar e são inerentes à escolha deles do DNS como um mecanismo C2."
"A verdadeira questão é por que eles escolheram modificar o Pupy para o C2 deles? O que há nesse RAT que eles precisam ou desejam para essas operações? Existem muitas outras escolhas, mas eles fizeram essa quando não havia outro conhecido uso malicioso do Pupy no passado.
Como eles reagirão à nossa atualização dependerá de por que escolheram fazer ou usar o Decoy Dog em primeiro lugar."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...