27.07.2023 | Собачья ловушка: DNS-вредонос Decoy Dog расширил свой функционал и стал ещё опаснее |
Группа неизвестных хакеров активно разрабатывает и применяет в реальных атаках новый набор инструментов для вредоносного ПО под названием «Decoy Dog». Это ПО эксплуатирует систему доменных имён ( DNS ) для контроля и управления узким кругом взломанных устройств. Об этот сообщила компания Infoblox , специализирующаяся на IT-автоматизации и кибербезопасности. После первичного раскрытия данной угрозы в апреле киберпреступники, ответственные за разработку Decoy Dog, быстро отреагировали и адаптировали свои системы для обеспечения непрерывной работы и сохранения доступа к уже скомпрометированным устройствам. Хакеры изменили поведение DNS-ответов контроллеров, добавили ограничения геолокации и переместили клиентов на новые контроллеры, чтобы обеспечить к ним непрерывный доступ. «Decoy Dog — это принципиально новое, ранее неизвестное вредоносное ПО со многими функциями сохранения постоянства на взломанном устройстве», — сообщили исследователи Infoblox. У экспертов есть весьма оправданные опасения, что это секретный инструмент, используемый в текущих кибератаках государственного уровня акторами определённой страны. Многие аспекты Decoy Dog остаются загадкой, а полный объём её возможностей пока неизвестен. На данный момент зловредную активность Decoy Dog можно выявить только с помощью алгоритмов обнаружения DNS-угроз. И это единственный на сегодня способ защиты от этой угрозы. Исследователи выявили уже как минимум три группы злоумышленников, использующих это вредоносное ПО. Decoy Dog основан на трояне удалённого доступа Pupy RAT . Однако значительные изменения кода указывают на участие в разработке опытных специалистов. По мнению Infoblox, тот факт, что новый вредонос основан на коде Pupy — лишь дымовая завеса для сокрытия реальных возможностей Decoy Dog. Эксперты уверены, что использование данного вредоноса будет лишь продолжать расти и влиять на организации по всему миру. Infoblox подчёркивает критическую необходимость повышения безопасности DNS, например, с помощью использования систем обнаружения и реагирования на DNS-угрозы. Как сообщают исследователи, некоторые из 20 доменов Decoy Dog, находящихся под мониторингом, были зарегистрированы и развёрнуты буквально в течение последнего месяца. «Интуитивно понятно, что DNS должна быть первой линией обороны для организаций, чтобы обнаруживать и смягчать такие угрозы, как Decoy Dog», — сказал Скотт Харрелл, президент и гендиректор Infoblox. «Как показывает пример Decoy Dog, изучение и глубокое понимание тактики и методов злоумышленников позволяет нам блокировать угрозы ещё до того, как о них становится известно как о вредоносном ПО». «Мы призываем отрасль продвигать эти исследования, изучать проблему и делиться результатами», — заключил Харрелл. |
Проверить безопасность сайта