Logiciel malveillant pour chien leurre
Lors d'un examen approfondi du logiciel malveillant nouvellement identifié, le Decoy Dog, les chercheurs en cybersécurité ont découvert qu'il représente une avancée considérable par rapport à sa base, le cheval de Troie d'accès à distance open source Pupy RAT.
Le Decoy Dog présente une vaste gamme de capacités puissantes et jusque-là non divulguées, ce qui en fait une menace plus sophistiquée. Parmi ses caractéristiques remarquables, il y a la capacité de déplacer les victimes vers un contrôleur alternatif, permettant aux acteurs malveillants derrière le malware de maintenir la communication avec les machines compromises tout en évitant la détection pendant des durées prolongées. Fait remarquable, il y a eu des cas où des victimes ont involontairement interagi avec un serveur Decoy Dog pendant plus d'un an, soulignant la furtivité et la résilience de ce logiciel malveillant.
Le logiciel malveillant Decoy Dog est équipé d'un ensemble étendu de fonctionnalités menaçantes
Le malware récemment identifié, Decoy Dog, possède plusieurs nouvelles fonctionnalités qui le distinguent. Notamment, le Decoy Dog possède désormais la capacité d'exécuter du code Java arbitraire sur le client, lui accordant une gamme d'actions plus étendue.
De plus, le logiciel malveillant a été équipé d'un mécanisme ressemblant à un algorithme de génération de domaine DNS (DGA) traditionnel pour se connecter aux contrôleurs d'urgence. Ce mécanisme implique la conception des domaines Decoy Dog pour répondre aux requêtes DNS rejouées provenant de clients piratés. Grâce à cette approche, les acteurs malveillants derrière le Decoy Dog peuvent rediriger efficacement la communication des appareils compromis de leur contrôleur actuel vers un autre. Cette commande critique demande aux appareils compromis de cesser la communication avec le contrôleur actuel et d'établir le contact avec un nouveau.
La découverte de cette boîte à outils sophistiquée a eu lieu début avril 2023, suite à la détection d'une activité de balisage DNS anormale. Cette révélation a mis en lumière les attaques hautement ciblées du malware visant spécifiquement les réseaux d'entreprise.
Les cybercriminels à l'origine du logiciel malveillant Decoy Dog peuvent cibler des régions spécifiques
Les origines du Decoy Dog n'ont pas encore été définitivement établies, mais il est soupçonné d'être exploité par un groupe restreint de pirates informatiques d'États-nations. Ces pirates utilisent des tactiques distinctes tout en répondant aux demandes entrantes qui s'alignent sur la structure de la communication client, ce qui en fait une menace puissante et insaisissable dans le paysage de la cybersécurité.
Le leurre utilise efficacement le système de noms de domaine (DNS) pour ses opérations de commande et de contrôle (C2). Lorsqu'un appareil est compromis par ce malware, il établit une communication avec un contrôleur désigné (serveur) via des requêtes DNS et des réponses d'adresse IP, recevant des instructions du contrôleur.
Après avoir été exposés par des experts en cybersécurité, les acteurs de la menace derrière le Decoy Dog ont agi rapidement en supprimant certains serveurs de noms DNS et en enregistrant rapidement de nouveaux domaines de remplacement pour assurer la persistance à distance et un contrôle continu. Cela leur a permis de transférer les clients compromis existants vers les nouveaux contrôleurs, démontrant ainsi leur détermination à maintenir l'accès à leurs victimes.
Le déploiement initial du Decoy Dog remonte à fin mars ou début avril 2022. Depuis lors, trois autres clusters de logiciels malveillants ont été détectés, chacun exploité par un contrôleur différent. Jusqu'à présent, un total de 21 domaines Decoy Dog ont été identifiés. De plus, un ensemble de contrôleurs enregistrés depuis avril 2023 a adapté sa tactique en mettant en œuvre des techniques de géorepérage. Cette technique limite les réponses aux adresses IP des clients à des emplacements géographiques spécifiques, l'activité observée étant principalement limitée aux régions de Russie et d'Europe de l'Est.
