Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Специалисты Infoblox обнаружили Decoy Dog — киберугрозу, скрытно функционирующую на протяжении целого года

24/04/23

Decoy-Dog

После очередной проверки аномального DNS-трафика, отличающегося от обычной интернет-активности, специалистами компании Infoblox был обнаружен новый набор вредоносных программ для предприятий под названием «Decoy Dog».

Decoy Dog помогает злоумышленникам обходить стандартные методы обнаружения за счёт стратегического «устаревания доменов» и клонирования DNS-запросов для создания хорошей репутации у поставщиков средств безопасности, пишет Securitylab.

Исследователи из Infoblox обнаружили данный инструментарий в начале этого месяца в рамках ежедневного анализа более 70 миллиардов DNS-записей для поиска признаков подозрительной активности.

Специалисты сообщают, что DNS-отпечаток Decoy Dog чрезвычайно редок и уникален среди 370 миллионов активных доменов в Интернете, что резко упрощает его идентификацию и отслеживание. Поэтому расследование вредоносной инфраструктуры Decoy Dog быстро привело к обнаружению нескольких C2-серверов, которые были связаны с одной и той же операцией.

Дальнейшее расследование показало, что DNS-туннели обнаруженных доменов имели характеристики, указывающие на Pupy RAT, троян удаленного доступа, развернутый набором инструментов Decoy Dog.

Pupy RAT — это модульный набор инструментов для постэксплуатации с открытым исходным кодом, популярный среди спонсируемых государством злоумышленников за свою скрытность, поддержку зашифрованных C2-коммуникаций и помощь в объединении и координации действий с другими пользователями данного инструмента.

Проект Pupy RAT поддерживает полезные нагрузки во всех основных десктопных и мобильных операционных системах, включая Windows, macOS, Linux и Android. Как и другие RAT, он позволяет злоумышленникам удаленно выполнять команды, повышать привилегии, красть учётные данные и распространяться по скомпрометированной сети.

«Эта сигнатура, состоящая из нескольких частей, вселила в нас уверенность в том, что связанные домены не просто использовали Pupy. Все они были частью Decoy Dog — большого единого набора инструментов, который очень специфическим образом развёртывал Pupy на предприятиях», — говорится в отчете Infoblox.

Кроме того, аналитики обнаружили отличающееся поведение DNS-маяков на всех доменах-приманках, настроенных на следование определенному шаблону периодического, но нечастого создания DNS-запросов.

Расследование деталей показало, что операция Decoy Dog стартовала ещё в начале прошлого апреля и оставалась незамеченной более года. Даже несмотря на то, что домены этого инструментария показывают крайние выбросы в аналитике.

Компания Infoblox перечислила домены Decoy Dog в своём отчете и добавила их в свой список «Подозрительные домены», чтобы помочь защитникам, аналитикам безопасности и целевым организациям защититься от этой изощренной угрозы.

Компания также поделилась индикаторами компрометации в своем общедоступном репозитории GitHub, который можно использовать для ручного добавления в чёрные списки.

Обнаружение Decoy Dog демонстрирует возможности использования крупномасштабного анализа данных для обнаружения аномальной активности на просторах Интернета, что в будущем позволит быстрее находить подобного рода угрозы.

Темы:УгрозыDNSRATInfoblox
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...