September 21, 2023


Toolkit malware Anjing Pemikat Misterius masih mengintai dalam bayang-bayang DNS

Rincian baru telah muncul tentang Decoy Dog, toolkit canggih yang sebagian besar tidak terdeteksi kemungkinan digunakan setidaknya selama satu tahun dalam operasi intelijen dunia maya, mengandalkan sistem nama domain (DNS) untuk aktivitas perintah dan kontrol.

Tidak jelas siapa di balik malware tersebut, tetapi para peneliti di vendor keamanan yang berfokus pada DNS Infoblox percaya bahwa empat aktor menggunakan dan mengembangkannya untuk operasi yang sangat bertarget.

Aktivitas yang diamati terbatas pada ruang Rusia dan Eropa Timur dan tampaknya terkait dengan invasi Rusia ke Ukraina.

Aktivitas Decoy Dog terus berlanjut

Sementara Infoblog hanya menganalisis DNS dan lalu lintas jaringan DecoyDog, karena didasarkan pada Pupy, Infoblog kemungkinan memiliki kemampuan untuk mengunduh muatan malware pada perangkat yang terinfeksi dan menjalankan perintah yang dikirim oleh penyerang.

Decoy Dog ditemukan pada awal April setelahnya Spesialis Infoblox menemukan aktivitas suar DNS yang tidak normal dari setengah lusin domain yang bertindak sebagai server perintah dan kontrol (C2) untuk malware:

  • cbox4[.]daftar abaikan[.]com
  • claudfront[.]bersih
  • hsdps[.]cc
  • ads-tm-glb[.]klik
  • atlas-upd[.]com
  • diizinkan[.]bersih

Pada saat itu, para peneliti mengatakan bahwa mereka “menemukan pola kueri DNS identik yang muncul dari jaringan perusahaan, yang tidak dapat dikaitkan dengan perangkat konsumen” dan “mengonfirmasi bahwa kueri tersebut berasal dari peralatan jaringan dalam jumlah jaringan pelanggan yang sangat terbatas.”

Siapa pun yang mengoperasikan toolkit tidak menghentikan aktivitas setelah Infoblox mengumumkan penemuan mereka dan menerbitkan analisis teknis yang menunjukkan bahwa Decoy Dog sangat didasarkan pada trojan akses jarak jauh (RAT) open-source pasca-eksploitasi Pupy.

Baru Penelitian Infoblox diterbitkan hari ini mengungkapkan bahwa “Decoy Dog adalah peningkatan besar dari Pupy yang menggunakan perintah dan konfigurasi yang tidak ada dalam repo publik.”

Beberapa perbedaan yang diamati antara lain:

  • Decoy Dog menggunakan Python 3.8 sedangkan Pupy ditulis dengan Python 2.7. Decoy Dog membutuhkan Python 3.8
  • banyak peningkatan termasuk kompatibilitas Windows dan operasi memori yang lebih baik
  • Decoy Dog secara signifikan memperluas kosakata komunikasi di Pupy dengan menambahkan beberapa modul komunikasi
  • Decoy Dog merespons pemutaran ulang permintaan DNS sebelumnya di mana Pupy tidak.
  • tidak seperti Pupy, Decoy Dog merespons permintaan DNS wildcard, yang menggandakan jumlah resolusi yang terlihat di DNS pasif.
  • Decoy Dog menanggapi permintaan DNS yang tidak cocok dengan struktur komunikasi yang valid dengan klien.
  • Decoy Dog menambahkan kemampuan untuk menjalankan kode Java arbitrer dengan memasukkannya ke dalam thread JVM dan menambahkan metode untuk mempertahankan kegigihan pada perangkat korban.

Infoblox awalnya membedakan tiga operator Decoy Dog, yang menanggapi secara berbeda setelah pengungkapan perusahaan pada bulan April. Yang keempat ditemukan setelah para peneliti menyelesaikan laporan Infoblox saat ini.

Aktivitas dari cbox4[.]daftar abaikan[.]com berhenti, sementara hsdps[.]cc dan iklan-tmglb[.]klik klien yang ditransfer ke domain baru.

Namun, Infoblox tidak melihat adanya perubahan operasional dengan claudfront[.]bersih dan diizinkan[.]bersih. Yang pertama telah meningkatkan aktivitas secara dramatis pada bulan Februari tahun ini dengan mentransfer klien ke pengontrol yang baru terdaftar.

Renée Burton, kepala intelijen ancaman di Infoblox, mengatakan kepada BleepingComputer bahwa operator domain claudfront dapat melakukan “hot swap” klien ke pengontrol yang berbeda, artinya peralihan dilakukan di memori.

Jumlah server nama, pengontrol, dan domain Decoy Dog saat ini mendekati dua lusin, kata Burton kepada kami. Daftar beberapa domain yang digunakan toolkit tersedia di bawah ini.

Domain Decoy Dog digunakan untuk aktivitas komando dan kontrol
Beberapa pengontrol Decoy Dog
sumber: Infoblox

Malware yang sangat bertarget dengan daftar pendek korban

Berdasarkan analisis lalu lintas DNS pasif, sulit untuk menentukan jumlah klien Data Dog yang akurat, yang akan mengindikasikan perangkat yang terpengaruh, tetapi jumlah terbesar koneksi bersamaan aktif yang diamati Infoblox pada satu pengontrol kurang dari 50 dan yang terkecil adalah empat.

Burton memperkirakan bahwa jumlah perangkat yang disusupi saat ini akan kurang dari beberapa ratus, menunjukkan sekumpulan target yang sangat kecil, tipikal operasi intelijen.

Beberapa perubahan yang dilakukan oleh salah satu operator Decoy Dog setelah pengungkapan Infoblox adalah menambahkan mekanisme geofencing yang membatasi respons dari domain pengontrol ke kueri DNS dari alamat IP di wilayah tertentu.

“Kami menemukan perilaku ini pada Juni 2023, dan menemukan bahwa beberapa server hanya merespons ketika kami merutekan kueri DNS melalui alamat IP Rusia, sementara yang lain akan merespons kueri apa pun yang dibuat dengan baik dari lokasi mana pun” – Infoblox

Meskipun ini mungkin menyiratkan bahwa para korban berada di Rusia, pelaku juga dapat memilih untuk merutekan lalu lintas korban melalui wilayah tersebut sebagai umpan atau membatasi pertanyaan ke pertanyaan yang relevan.

Burton bersandar pada anggapan pertama, menjelaskan bahwa Decoy Dog berperilaku seperti Pupy dan menggunakan penyelesai rekursif default untuk terhubung ke DNS. Karena mengubah sistem ini dalam jaringan modern “cukup menantang”, kata peneliti, kemungkinan besar “pengontrol tersebut memiliki korban di Rusia atau negara tetangga (yang mungkin juga merutekan data melalui Rusia).”

TTP menunjuk ke banyak aktor

Infoblox membedakan antara empat aktor yang mengoperasikan Decoy Dog berdasarkan taktik, teknik, dan prosedur (TTP) yang diamati. Namun, tampaknya mereka semua menanggapi pertanyaan yang cocok dengan format yang tepat untuk Decoy Dog atau Pupy.

Burton mencatat bahwa ini adalah perilaku aneh yang mungkin disengaja, tetapi bahkan dengan pengalamannya yang luas sebagai kriptografer, orang intel, dan ilmuwan data, dia tidak dapat menjelaskannya dengan alasan tertentu.

Jika teori banyak aktor yang menangani Decoy Dog benar, mungkin ada dua grup pengembangan yang meningkatkan toolkit dengan fungsionalitas baru.

Menurut Burton, salah satu dari empat kelompok tersebut memiliki versi Decoy Dog tercanggih terlihat di repositori publik, yang kliennya terhubung ke controller claudfront[.]bersih.

Salah satu pengontrol dari grup ini, kata Burton kepada BleepingComputer, adalah maxpatrol[.]bersih tetapi tidak ada koneksi yang terlihat untuk itu. Ini mungkin menunjukkan kemiripan sistem manajemen kerentanan dan kepatuhan dari Positive Technologies, perusahaan keamanan siber Rusia yang pernah ada diberi sanksi oleh AS pada tahun 2021 untuk perdagangan alat dan eksploitasi peretasan yang digunakan oleh kelompok peretasan yang disponsori negara.

Infoblox mencatat bahwa versi toolkit yang lebih baru dilengkapi dengan algoritma pembuatan domain (DGA) yang bertindak sebagai modul darurat untuk memungkinkan mesin yang disusupi menggunakan server DNS pihak ketiga jika malware tidak dapat berkomunikasi dengan server C2 untuk waktu yang lama.

Mekanisme kegigihan yang luas tersedia mulai klien Decoy Dog versi 3, menunjuk ke operasi intelijen daripada yang didorong secara finansial atau tim merah.

Cakupan Decoy Dog masih menjadi misteri

Saat ini, operasi Decoy Dog tetap menjadi misteri sejauh tujuan dan penangannya. Infoblox telah melakukan bagiannya dalam mengungkap toolkit menggunakan data DNS dari sistemnya dan menarik perhatian komunitas infosec.

Namun, penelitian tambahan diperlukan untuk menentukan target, metode kompromi awal (mis. rantai pasokan, kerentanan yang diketahui, zero-day di perangkat yang ditargetkan), dan bagaimana aktor berpindah ke jaringan.

Meskipun Infoblox mendapat dukungan dari komunitas infosec (dari vendor intel utama, lembaga pemerintah, kelompok penelitian ancaman, dan organisasi keuangan), deteksi malware atau cakupan penuhnya belum diungkapkan kepada publik.

Infoblox merekomendasikan pembela mempertimbangkan bahwa alamat IP di Decoy Dog dan Pupy mewakili data terenkripsi, bukan alamat asli yang digunakan untuk komunikasi.

Mereka juga harus fokus pada permintaan dan tanggapan DNS karena mereka dapat membantu melacak aktivitas malware. Satu peringatan adalah volume komunikasi rendah dan riwayat log yang besar diperlukan untuk melacak komunikasi.

Perusahaan juga membuat aturan YARA yang dapat mendeteksi sampel Decoy Dog yang diamati para peneliti sejak Juli dan membedakan toolkit dari Pupy versi publik.

Leave a Reply

Your email address will not be published. Required fields are marked *

Related News

US and UK sanction 11 TrickBot and Conti cybercrime gang members

US and UK sanction 11 TrickBot and Conti cybercrime gang members

September 7, 2023
Rogers silent as Canadian customers report internet outages

Rogers silent as Canadian customers report internet outages

September 7, 2023