70 milyardan fazla DNS kaydının analizi, yeni bir gelişmiş kötü amaçlı yazılım araç setinin keşfedilmesine yol açtı. yem köpek kurumsal ağları hedefliyor.
yem köpekadından da anlaşılacağı gibi kaçamaklıdır ve herhangi bir şüphe uyandırmayacak şekilde bir dizi sorgunun komuta ve kontrol (C2) alanlarına iletildiği stratejik alan eskitme ve DNS sorgusu salma gibi teknikler kullanır.
Infoblox, “Decoy Dog, özellikle etki alanlarını DNS düzeyinde incelerken, onu benzersiz bir şekilde tanımlanabilir kılan oldukça sıra dışı özelliklere sahip uyumlu bir araç setidir.” söz konusu geçen ayın sonlarında yayınlanan bir danışma belgesinde.
Anormal DNS işaretleme etkinliğinin ardından Nisan 2023’ün başlarında kötü amaçlı yazılımı tanımlayan siber güvenlik firması, alışılmadık özelliklerinin, saldırı altyapısının parçası olan ek etki alanlarını eşlemesine izin verdiğini söyledi.
Bununla birlikte, California merkezli şirkete göre, Decoy Dog’un vahşi ortamda kullanımı “çok nadir” ve DNS imzası, internetteki 370 milyon aktif alanın %0,0000027’sinden daha azıyla eşleşiyor.
Araç setinin ana bileşenlerinden biri, Pupy RAT adlı bir yöntemle sunulan açık kaynaklı bir trojandır. DNS tünellemeburada DNS sorguları ve yanıtları, yükleri gizlice bırakmak için bir C2 olarak kullanılır.
Aktörün bu kampanyaya dahil olduğunu gösteren hiçbir kanıt olmamasına rağmen, çapraz platform Pupy RAT kullanımının geçmişte Earth Berberoka (aka GamblingPuppet) gibi Çin’den ulus-devlet aktörleriyle bağlantılı olduğunu belirtmekte fayda var.
Decoy Dog hakkında daha fazla araştırma, operasyonun keşfedilmesinden en az bir yıl önce kurulduğunu ve bugüne kadar tespit edilen üç farklı altyapı konfigürasyonunun olduğunu gösteriyor.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Diğer bir önemli husus, Decoy Dog etki alanlarıyla ilişkili olağandışı DNS işaretleme davranışıdır; öyle ki, radarın altından uçmak için periyodik, ancak seyrek DNS istekleri modeline bağlı kalırlar.
“Tuzak Köpek etki alanları Infoblox, paylaşılan kayıt şirketlerine, ad sunucularına, IP’lere ve dinamik DNS sağlayıcılarına göre birlikte gruplandırılabilir” dedi.
“Decoy Dog etki alanları arasındaki diğer ortak yönler göz önüne alındığında, bu, ya bir tehdit aktörünün taktiklerini kademeli olarak geliştirdiğinin ya da aynı araç takımını farklı altyapılarda dağıtan birden fazla tehdit aktörünün göstergesidir.”