Исследователи Infoblox напоминают организациям о важности мониторинга системы доменных имён.
Группа неизвестных хакеров активно разрабатывает и применяет в реальных атаках новый набор инструментов для вредоносного ПО под названием «Decoy Dog». Это ПО эксплуатирует систему доменных имён (DNS) для контроля и управления узким кругом взломанных устройств. Об этот сообщила компания Infoblox, специализирующаяся на IT-автоматизации и кибербезопасности.
После первичного раскрытия данной угрозы в апреле киберпреступники, ответственные за разработку Decoy Dog, быстро отреагировали и адаптировали свои системы для обеспечения непрерывной работы и сохранения доступа к уже скомпрометированным устройствам.
Хакеры изменили поведение DNS-ответов контроллеров, добавили ограничения геолокации и переместили клиентов на новые контроллеры, чтобы обеспечить к ним непрерывный доступ.
«Decoy Dog — это принципиально новое, ранее неизвестное вредоносное ПО со многими функциями сохранения постоянства на взломанном устройстве», — сообщили исследователи Infoblox.
У экспертов есть весьма оправданные опасения, что это секретный инструмент, используемый в текущих кибератаках государственного уровня акторами определённой страны. Многие аспекты Decoy Dog остаются загадкой, а полный объём её возможностей пока неизвестен.
На данный момент зловредную активность Decoy Dog можно выявить только с помощью алгоритмов обнаружения DNS-угроз. И это единственный на сегодня способ защиты от этой угрозы. Исследователи выявили уже как минимум три группы злоумышленников, использующих это вредоносное ПО.
Decoy Dog основан на трояне удалённого доступа Pupy RAT. Однако значительные изменения кода указывают на участие в разработке опытных специалистов. По мнению Infoblox, тот факт, что новый вредонос основан на коде Pupy — лишь дымовая завеса для сокрытия реальных возможностей Decoy Dog. Эксперты уверены, что использование данного вредоноса будет лишь продолжать расти и влиять на организации по всему миру.
Infoblox подчёркивает критическую необходимость повышения безопасности DNS, например, с помощью использования систем обнаружения и реагирования на DNS-угрозы. Как сообщают исследователи, некоторые из 20 доменов Decoy Dog, находящихся под мониторингом, были зарегистрированы и развёрнуты буквально в течение последнего месяца.
«Интуитивно понятно, что DNS должна быть первой линией обороны для организаций, чтобы обнаруживать и смягчать такие угрозы, как Decoy Dog», — сказал Скотт Харрелл, президент и гендиректор Infoblox. «Как показывает пример Decoy Dog, изучение и глубокое понимание тактики и методов злоумышленников позволяет нам блокировать угрозы ещё до того, как о них становится известно как о вредоносном ПО».
«Мы призываем отрасль продвигать эти исследования, изучать проблему и делиться результатами», — заключил Харрелл.
Источник: securitylab