Infoblox, et fremtrædende cybersikkerhedsfirma, har afsløret en indsigtsfuld anden trusselrapport, der dykker ned i cyberangribernes taktik under udvikling.
Denne rapport giver vigtige opdateringer vedrørende "Decoy Dog", et fjernadgangs trojansk værktøj (RAT) oprindeligt opdaget og afsløret af Infoblox i april 2023. Af største bekymring udnytter denne malware Domain Name System (DNS) til at etablere kommando og kontrol (C2) ) kanaler. Desuden er der stærk mistanke om, at dette værktøjssæt i det skjulte kan blive brugt i igangværende cyberangreb orkestreret af nationalstatsaktører.
I kølvandet på Infoblox' afsløring om lokkehundens værktøjskasse, reagerede de ondsindede trusselsaktører bag det omgående. Disse modstandere tilpassede behændigt deres systemer for at sikre kontinuiteten i deres operationer. Denne hurtige reaktion understreger den betydning, de lægger på at opretholde adgangen til kompromitterede enheder, og fremhæver dens fortsatte høje prioritet i deres cyberoffensive strategier.
Analysen udført af Infoblox illustrerer den alarmerende spredning af Decoy Dog malware. I øjeblikket bruger mindst tre forskellige trusselsaktører dette værktøjssæt. Selvom Decoy Dog stammer fra open source RAT kendt som Pupy, repræsenterer den en helt ny race af malware, der tidligere var forblevet uoplyst. Denne nyligt afdækkede malware kan prale af en overflod af funktioner, der gør den i stand til at etablere persistens på kompromitterede enheder.
Mens adskillige aspekter af Decoy Dog-malwaren stadig er gådefulde, hævder Infoblox, at alle indikationer peger på, at nationalstatshackere er arkitekterne bag det. Som en del af deres igangværende bestræbelser på at kaste lys over denne nye trussel, har Infoblox udgivet et omfattende datasæt bestående af DNS-trafik hentet fra deres servere. Dette uvurderlige datasæt er beregnet til at lette bredere industriundersøgelser af de indviklede kommando- og kontrolsystemer, som denne malware anvender.
Infoblox understreger en betydelig risiko forbundet med opretholdelsen og udvidelsen af ​​Decoy Dog-malwaren og dens anvendelse. De advarer om, at dets rækkevidde kan strække sig til organisationer over hele kloden og påvirke dem på dybtgående måder. I øjeblikket er den eneste kendte metode til at opdage og forsvare sig mod den kombinerede trussel fra lokkehund og hvalp gennem DNS-detektions- og responssystemer som Infoblox' eget BloxOne Threat Defense.
Scott Harrell, formanden og administrerende direktør for Infoblox, understreger den afgørende rolle, som DNS bør spille som den primære forsvarslinje mod trusler som Decoy Dog. Han fremhæver Infoblox's DNS Detection and Response-løsning som den førende i branchen, og tilbyder virksomheder et nøglefærdigt forsvar, som andre Extended Detection and Response (XDR)-løsninger kan overse. Harrell hævder, "at studere og dybt forstå angriberens taktik og teknikker giver os mulighed for at blokere trusler, før de overhovedet er kendt som malware."
Trojanske egenskaber
Gennem udtømmende analyse af DNS-data i stor skala har Infoblox formået at opklare nøglekarakteristika ved Decoy Dog-malwaren sammen med indsigt i trusselsaktørerne bag. Som svar på Infoblox' første offentlige offentliggørelse, udførte lokkehundens trusselsaktører forskellige strategier. Nogle af de nævnte navneservere blev taget ned, mens andre migrerede deres ofre til nye servere. På trods af disse undvigelsestaktikker fortsatte Infoblox med at spore deres aktiviteter og akkumulerede gradvist et væld af viden.
Infoblox har været i stand til at udlede visse aspekter af kommunikationen anvendt af angriberne. Som følge heraf vurderer de, at antallet af kompromitterede enheder forbliver relativt begrænset. Desuden har Infoblox med succes differentieret Decoy Dog fra Pupy og identificeret en række potente, hidtil ukendte egenskaber, eksklusive til Decoy Dog. Et bemærkelsesværdigt træk er malwarens kapacitet til at flytte ofre til alternative controllere, hvilket muliggør fortsat kommunikation med kompromitterede systemer og letter langvarig stealth.
Chokerende nok har nogle ofre opretholdt aktiv kommunikation med en Decoy Dog-server i over et år, hvilket understreger malwarens skjulte og varige karakter. Dr. Renée Burton, lederen af ​​Threat Intelligence hos Infoblox, påpeger, at den iboende mangel på indsigt i offersystemer og de sårbarheder, som Decoy Dog er målrettet mod, bidrager til dens vedvarende og alvorlige trussel.
Dr. Burton hævder, at DNS, der ofte overses som et kritisk element i sikkerhedslandskabet, har nøglen til effektivt forsvar mod denne malware. Hun understreger, "Kun virksomheder med en stærk beskyttende DNS-strategi kan beskytte sig selv mod disse typer skjulte trusler."
Som en del af deres løbende overvågningsindsats sporer Infoblox i øjeblikket 20 domæner forbundet med Decoy Dog.
Navnlig er disse domæner blevet registreret og implementeret inden for den seneste måned, hvilket fremhæver en iboende svaghed i det fremherskende malware-centrerede intelligensøkosystem, der dominerer cybersikkerhedsindustrien. Infoblox hævder endvidere, at deres opdagelse af denne malware udelukkende var mulig på grund af de sofistikerede DNS-trusselsdetektionsalgoritmer, de anvender. Derfor går de ind for DNS-niveaubeskyttelse som det mest robuste forsvar mod disse typer angreb inden for ethvert netværk.
Infoblox forsikrer, at deres BloxOne Threat Defense-kunder effektivt er beskyttet mod Decoy Dog og dens tilknyttede ondsindede trusselsaktører. De opmuntrer brændende det bredere cybersikkerhedssamfund til at bygge videre på denne forskning, uddybe deres undersøgelser og åbent dele deres resultater for i fællesskab at styrke forsvaret mod nye trusler.
For at lette dybere indsigt i Decoy Dog-malwaren er Dr. Renée Burton klar til at præsentere en omfattende diskussion med titlen "Decoy Dog is No Ordinary Pupy" på den kommende Black Hat-cybersikkerhedskonference i Las Vegas den 9. august. Denne præsentation vil dykke ned i indviklede detaljer og nøgleresultater vedrørende malwaren. Under hele konferencen vil deltagerne have mulighed for at engagere sig med Infoblox-forskere og deltage i praktiske udfordringer, der involverer interaktion med en live Pupy-controller via Infoblox Double Dog Dare-oplevelsen.
Som supplement til disse bestræbelser vil Infoblox også være vært for korte introduktioner til både Decoy Dog og Pupy på deres standteater. Denne interaktive oplevelse har til formål at give deltagerne en førstehåndsforståelse af, hvordan DNS-trafik fungerer som en kanal for kommunikation mellem klienter og servere, hvilket belyser alvoren af ​​truslen fra denne malware.
Derudover, for dem, der søger mere dybdegående viden, har eksperter på området for nylig udgivet en ny bog med titlen "DNS's skjulte potentiale i sikkerhed." Denne omfattende ressource dækker en række emner, herunder lookalike-domæner, domæne-genererede algoritmer (DGA'er), DNS-tunneling, dataeksfiltrering over DNS, motivationerne bag hackers brug af DNS og strategier til effektivt at forsvare sig mod disse udviklende angrebsvektorer.