شبکه‌های سازمانی مراقب بدافزار Decoy Dog باشند

کارشناسان Infoblox با بررسی بیش از 70 میلیارد گزارش DNS از وجود بدافزار پیچیده جدیدی با نام Decoy Dog آگاه شده‌اند که شبکه‌های سازمانی را هدف قرار می‌دهد.

Decoy Dog، همان‌طور که از نامش پیداست، گریزان است و از تکنیک‌هایی مانند strategic domain aging و DNS query dribbling استفاده می‌کند که در آن یک‌سری query به دامنه‌های فرمان و کنترل (C2) منتقل می‌شود تا هیچ شکی ایجاد نکند.

شرکت امنیت سایبری Infoblox اعلام کرد، بدافزار Decoy Dog یک جعبه ابزار منسجم با تعدادی ویژگی بسیار غیرعادی است که هنگام بررسی دامنه‌های آن در سطح DNS قابل شناسایی است.

تحقیقات بیشتر در مورد Decoy Dog نشان می‌دهد که این عملیات حداقل یک سال قبل از کشف آن راه‌اندازی شده و با سه پیکربندی زیرساختی متمایز تا به امروز شناسایی شده است. یکی دیگر از جنبه‌های مهم، رفتار غیرمعمول مرتبط با دامنه‌هایDecoy Dog است، به طوری که آنها به الگوی درخواست‌های دوره‌ای، اما نادر، DNS برای مخفی ماندن پایبند هستند.

طبق گزارش Infoblox، دامنه‌های Decoy Dog را می‌توان بر اساس ثبت‌کننده‌های مشترک، سرورهای نام، آی‌پی و ارائه‌دهندگان DNS پویا با هم گروه‌بندی کرد.

اشتراکات دیگر بین دامنه‌های Decoy Dog، نشان می دهد یک عامل تهدید به تدریج تاکتیک‌های خود را تغییر داده یا چندین عامل تهدید یک جعبه ابزار را در زیرساخت‌های مختلف مستقر می‌کنند.

این شرکت امنیت سایبری که این بدافزار را در اوایل آوریل 2023 و به دنبال فعالیت غیرعادی نشان‌دهنده DNS شناسایی کرده بود، می‌گوید که هر چند استفاده از Decoy Dog بسیار نادر است، اما ویژگی‌های غیر معمول به آن اجازه خواهد ‌داد تا دامنه‌های اضافی را که بخشی از زیرساخت حمله هستند، نقشه‌برداری کند. لذا شبکه های سازمانی می بایست مراقب حملات این بدافزار باشند.

منبع:

https://thehackernews.com/2023/05/new-decoy-dog-malware-toolkit-uncovered