Normal internet etkinliğinden farklı olan anormal DNS trafiğini inceledikten sonra 'Decoy Dog' adlı yeni bir işletme hedefleme kötü amaçlı yazılım aracı takımı keşfedildi.
Decoy Dog, tehdit aktörlerinin, siber suç operasyonlarını kolaylaştırmaya başlamadan önce güvenlik satıcılarıyla iyi bir üne sahip olmayı hedefleyerek stratejik alan yaşlanması ve DNS sorgusu top sürme yoluyla standart algılama yöntemlerinden kaçmasına yardımcı olur.
Infoblox'tan araştırmacılar, anormal veya şüpheli faaliyet belirtileri aramak için günlük 70 milyardan fazla DNS kayıtlarının analizinin bir parçası olarak Nisan 2023'ün başlarında araç setini keşfettiler.
Infoblox, Decoy Dog’un DNS parmak izinin internetteki 370 milyon aktif alan arasında son derece nadir ve benzersiz olduğunu ve tanımlamayı ve izlemeyi kolaylaştırdığını bildirdi.
Bu nedenle, Decoy Dog’un altyapısıyla ilgili soruşturma, aynı işlemle bağlantılı birkaç C2 (Komuta ve Kontrol) alanının keşfedilmesine yol açtı ve bu sunuculardan çoğu iletişim Rusya'daki ana bilgisayarlardan kaynaklandı.
Daha fazla araştırma, bu alanlardaki DNS tünellerinin, Decoy Dog Toolkit tarafından konuşlandırılan bir uzaktan erişim Truva atı olan Pupy Rat'a işaret eden özelliklere sahip olduğunu ortaya koydu.
Pupy Rat, devlet destekli tehdit aktörleri arasında gizli (filtrelessiz), şifreli C2 iletişimlerini destekledikleri ve araçların diğer kullanıcılarıyla harmanlamalarına yardımcı olan modüler açık kaynaklı bir sömürü sonrası araç setidir.
Pupy Rat Projesi, Windows, MacOS, Linux ve Android dahil olmak üzere tüm büyük işletim sistemlerinde yükleri destekler. Diğer sıçanlar gibi, tehdit aktörlerinin komutları uzaktan yürütmesine, ayrıcalıkları yükseltmesine, kimlik bilgilerini çalmasına ve bir ağdan yanal olarak yayılmasına izin verir.
Daha az yetenekli aktörler PUP Sıçanını kullanmazlar, çünkü aracı C2 iletişimleri için doğru DNS sunucu yapılandırması ile dağıtmak bilgi ve uzmanlık gerektirir.
“Bu çok bölümlü (DNS) imza bize (korelasyonlu) alanların sadece pupayı kullanmadığına dair güçlü bir güven verdi, aynı zamanda tuzak köpeğinin bir parçası-Pupy'yi işletme veya çok özel bir şekilde konuşlandıran büyük, tek bir araç seti Büyük organizasyonel, tüketici olmayan cihazlar ”dedi.
Ayrıca, analistler, belirli bir periyodik ancak nadir DNS istek üretimi modelini takip edecek şekilde yapılandırılmış tüm tuzak köpek alanlarında farklı bir DNS işaretleme davranışı keşfettiler.
Barındırma ve alan kaydı ayrıntılarının araştırılması, tuzak köpek operasyonunun Nisan 2022'nin başından beri devam ettiğini ortaya koydu, bu nedenle araç setinin analitikte aşırı aykırı değerler göstermesine rağmen bir yıldan fazla bir süre radar altında kaldı.
Decoy köpeğinin keşfi, internetin genişliğinde anormal aktiviteyi tespit etmek için büyük ölçekli veri analizi kullanma gücünü göstermektedir.
İnfoblox araştırmacıları, "Infoblox, Decoy Dog’un alanlarını raporunda listeledi ve savunucuların, güvenlik analistlerinin ve hedeflenen kuruluşların bu sofistike tehdide karşı korunmasına yardımcı olmak için bunları“ şüpheli alan adları ”listesine ekledi.
"Decoy Dog'un keşfi ve en önemlisi, görünüşte ilgisiz birkaç alan adının aynı nadir araç setini kullanması, bu otomatik ve insan süreçlerinin kombinasyonunun bir sonucuydu."
Durum karmaşık olduğundan ve keşfin DNS yönlerine odaklandığımız için, gelecekte kendimize ek olarak sektörden daha fazla ayrıntı gelmesini bekliyoruz. "
Şirket ayrıca, blok listelerine manuel ekleme için kullanılabilecek kamu GitHub deposunda uzlaşma göstergelerini paylaştı.
Sıçan geliştiricisi, 10.000 adet kötü amaçlı yazılımla enfekte ettiği için tutuklandı
ABD vergi mükellefleri, devam eden kimlik avı saldırılarında sıçan kötü amaçlı yazılımlarla hedeflenen
Microsoft: Tehdit Oyuncuları yeni kötü amaçlı yazılımlarla havacılık kuruluşlarını hedefleyin
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
TP-Link Archer Wifi Yönlendirici Kususu Mirai kötü amaçlı yazılım tarafından kullanıldı
Kaynak: Bleeping Computer