Infoblox обнаружил редкий эксплойт Decoy Dog C2
techrepublic

Infoblox обнаружил редкий эксплойт Decoy Dog C2

3 мая 2023 г.
Фирма Infoblox, занимающаяся безопасностью доменов, обнаружила эксплойт управления и контроля, который, хотя и является чрезвычайно редким и сложным, может быть предупреждением от нового, пока еще анонимного государственного субъекта.

Если вы выполните поиск самых последних отчетов об атаках на систему доменных имен, вам может быть трудно найти их, поскольку в отчете IDC за 2021 год отмечается, что в 2020 году 87% организаций подверглись атаке DNS в течение 2020 года.

Тот факт, что DNS не является первоочередной номенклатурой для многих атак, которые фактически помещают DNS в цепочку атак, может быть связан с супом из алфавита безопасности DNS через TLS или HTTP. Как поясняется в отчете CloudFlare, TLS и HTTP шифруют DNS-запросы в виде открытого текста, обеспечивая безопасность и конфиденциальность просмотра.

ПОСМОТРЕТЬ: в двухфакторной аутентификации Google может отсутствовать шифрование, что означает разблокирование доступа к мобильным устройствам

Тем не менее, в отчете Akamai об угрозах DNS за третий квартал отмечается 40-процентный рост DNS-атак в этом квартале прошлого года, а 14% всех защищенных устройств обменивались данными с вредоносным обозначением по крайней мере один раз в третьем квартале прошлого года.

Перейти к:

    Новый стелс-инструментарий только для экспертов русская гончая Щенок, который является КРЫСОЙ Небольшие аномальные наборы инструментов таят в себе скрытые риски

Новый стелс-инструментарий только для экспертов

Infoblox Threat Intelligence Group, которая ежедневно анализирует миллиарды DNS-записей и миллионы записей, связанных с доменами, сообщила о новом наборе вредоносных программ под названием Decoy Dog, который использует троян удаленного доступа под названием Pupy.

Рене Бертон, старший директор по анализу угроз в Infoblox, сказала, что Pupy — это продукт с открытым исходным кодом, который очень сложен в использовании и плохо документирован. Infoblox обнаружил, что инструментарий Decoy Dog, который использует Pupy менее чем в 3% всех сетей, и что злоумышленник, контролирующий Decoy Dog, подключен всего к 18 доменам.

«Мы обнаружили это с помощью нашей серии детекторов аномалий и узнали, что деятельность Decoy Dog использует систему управления и контроля эксфильтрации данных, или C2, уже более года, начиная с начала апреля 2022 года», — сказал Бертон. «Больше никто не знал».

русская гончая

Когда Infoblox проанализировала запросы во внешних глобальных данных DNS, исследователи фирмы обнаружили, что Decoy Dog C2 происходит почти исключительно с хостов в России.

«Одна из главных опасностей заключается в том, что никто не знает, что это такое», — сказал Бертон. «Это означает, что что-то скомпрометировано, и кто-то это контролирует, и никто не знает, что это такое. Это очень необычно. Мы знаем, что такое подпись, но мы не знаем, что она контролирует, и никто здесь не знает».

Командование и контроль, как объяснил Бертон, позволяют антагонисту захватывать системы. «Я мог бы приказать вам отдать мне всю вашу электронную почту. Если вы брандмауэр, я могу приказать вам отключиться, если вы балансировщик нагрузки, я могу приказать вам создать DDoS», — сказала она.

Бертон сказал, что Pupy был связан с деятельностью национального государства в прошлом, и это не из-за высокой планки для входа. «Это сложный многомодульный троян, который не предоставляет пользователю инструкций о том, как установить DNS-сервер имен для осуществления связи C2. В результате он не так легко доступен для обычного киберпреступника», — сказала она.

Щенок, который является КРЫСОЙ

Подобно законному использованию технологий удаленного доступа, таких как услуги, позволяющие техническим специалистам удаленно демонстрировать новые системы на удаленном компьютере или ускорять исправление напрямую, RAT легко установить и не проявляют себя изменениями в скорости вычислений. Они могут быть доставлены по электронной почте, в видеоиграх и другом программном обеспечении или даже в рекламных объявлениях и на веб-страницах. Pupy — это RAT со специфическими возможностями C2.

По словам Бертона:

    RAT обеспечивает доступ к системе. Некоторые RAT используют инфраструктуру C2, позволяющую удаленно управлять скомпрометированной машиной. Pupy — это сложный кроссплатформенный инструмент C2 с открытым исходным кодом, в основном написанный на Python, который очень сложно обнаружить. Decoy Dog — это необычайно редкое развертывание Pupy с подписью DNS, показывающей, как он был настроен и как он работает. По данным Infoblox, только 18 доменов из 370 миллионов соответствуют этой сигнатуре.

Некоторые распространенные способы использования вредоносных программ RAT включают в себя получение злоумышленником удаленного доступа к ноутбуку и сдачу его в аренду злоумышленникам, которые размещают больше вредоносных программ через сети доступа к компьютеру. «Это один из способов сделать ваш ноутбук частью ботнета», — сказал Бертон. — Это довольно распространенные ситуации.

Небольшие аномальные наборы инструментов таят в себе скрытые риски

Несмотря на то, что Decoy Dog незначителен в развертывании, существуют неотъемлемые риски скрытых RAT или вредоносных программ, происхождение которых загадочно и остается невидимым. Бертон указывает на вредоносное ПО Pegasus 2018 года, шпионское ПО C2 из Израиля, предназначенное для проникновения и управления мобильными устройствами Android, iOS, Symbian и BlackBerry, предоставляя удаленный хакеру доступ к камерам телефона, местоположению, микрофону и другим датчикам в целях наблюдения.

Amnesty International вмешалась, когда правительство Саудовской Аравии якобы использовало Pegasus для слежки за семьей Джамаля Хашогги, убитого правительственными агентами.

«Пегас оставался незамеченным в течение двух лет», — сказал Бертон. «Мы изучили эту историю и обнаружили, что мы заблокировали 89% этих доменов Pegasus задолго до сообщения Amnesty, поэтому наши клиенты были защищены, и мы смогли подтвердить слова Amnesty».

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE