Lockvogel-Hunde-Malware

Bei einer umfassenden Untersuchung von q neu identifizierter Malware, dem Decoy Dog, haben Cybersicherheitsforscher herausgefunden, dass dieser einen erheblichen Fortschritt im Vergleich zu seiner Grundlage, dem Open-Source-Fernzugriffstrojaner Pupy RAT, darstellt.

Der Decoy Dog verfügt über eine Vielzahl mächtiger und bisher unbekannter Fähigkeiten, die ihn zu einer anspruchsvolleren Bedrohung machen. Zu seinen bemerkenswerten Funktionen gehört die Fähigkeit, Opfer auf einen alternativen Controller zu verlagern, wodurch böswillige Akteure hinter der Malware die Kommunikation mit kompromittierten Computern aufrechterhalten und gleichzeitig der Erkennung für längere Zeiträume entgehen können. Bemerkenswerterweise gab es Fälle, in denen Opfer weit über ein Jahr lang unabsichtlich mit einem Decoy Dog-Server interagierten, was die Heimlichkeit und Widerstandsfähigkeit dieser Schadsoftware unterstreicht.

Die Decoy Dog-Malware ist mit einem erweiterten Satz bedrohlicher Funktionen ausgestattet

Die kürzlich identifizierte Malware Decoy Dog zeichnet sich durch mehrere neuartige Funktionen aus. Insbesondere verfügt der Decoy Dog nun über die Fähigkeit, beliebigen Java-Code auf dem Client auszuführen, was ihm ein umfangreicheres Aktionsspektrum bietet.

Darüber hinaus wurde die Malware mit einem Mechanismus ausgestattet, der einem herkömmlichen DNS-Domänengenerierungsalgorithmus (DGA) ähnelt, um eine Verbindung zu Notfall-Controllern herzustellen. Bei diesem Mechanismus werden die Decoy Dog-Domänen so konstruiert, dass sie auf wiederholte DNS-Anfragen reagieren, die von angegriffenen Clients stammen. Durch diesen Ansatz können die böswilligen Akteure hinter Decoy Dog die Kommunikation gefährdeter Geräte effektiv von ihrem aktuellen Controller auf einen anderen umleiten. Dieser kritische Befehl weist die gefährdeten Geräte an, die Kommunikation mit dem aktuellen Controller zu beenden und Kontakt mit einem neuen herzustellen.

Die Entdeckung dieses hochentwickelten Toolkits erfolgte Anfang April 2023, ausgelöst durch die Entdeckung anomaler DNS-Beaconing-Aktivitäten. Diese Enthüllung brachte die äußerst gezielten Angriffe der Malware ans Licht, die speziell auf Unternehmensnetzwerke abzielten.

Cyberkriminelle, die hinter der Decoy-Dog-Malware stehen, zielen möglicherweise auf bestimmte Regionen ab

Die Ursprünge des Decoy Dog sind noch nicht endgültig geklärt, es wird jedoch vermutet, dass er von einer ausgewählten Gruppe nationalstaatlicher Hacker betrieben wird. Diese Hacker wenden bei der Reaktion auf eingehende Anfragen unterschiedliche Taktiken an, die mit der Struktur der Kundenkommunikation übereinstimmen, was sie zu einer starken und schwer fassbaren Bedrohung in der Cybersicherheitslandschaft macht.

Der Decoy Dog nutzt effektiv das Domain Name System (DNS) für seine Command-and-Control-Operationen (C2). Wenn ein Gerät durch diese Malware kompromittiert wird, stellt es über DNS-Abfragen und IP-Adressantworten eine Kommunikation mit einem bestimmten Controller (Server) her und erhält Anweisungen vom Controller.

Nachdem sie von Cybersicherheitsexperten aufgedeckt wurden, reagierten die Bedrohungsakteure hinter Decoy Dog schnell, indem sie bestimmte DNS-Nameserver abschalteten und umgehend neue Ersatzdomänen registrierten, um Remote-Persistenz und kontinuierliche Kontrolle sicherzustellen. Dadurch konnten sie die vorhandenen kompromittierten Clients auf die neuen Controller übertragen und damit ihre Entschlossenheit unter Beweis stellen, den Zugriff auf ihre Opfer aufrechtzuerhalten.

Der erste Einsatz von Decoy Dog geht auf Ende März oder Anfang April 2022 zurück. Seitdem wurden drei weitere Cluster der Malware entdeckt, die jeweils von einem anderen Controller gesteuert werden. Bisher wurden insgesamt 21 Decoy Dog-Domains identifiziert. Darüber hinaus hat eine seit April 2023 registrierte Gruppe von Kontrolleuren ihre Taktiken durch die Implementierung von Geofencing-Techniken angepasst. Diese Technik beschränkt Antworten auf Client-IP-Adressen auf bestimmte geografische Standorte, wobei die beobachtete Aktivität überwiegend auf Regionen in Russland und Osteuropa beschränkt ist.