Decoy Dog – alles andere als ein gewöhnlicher Trojaner
Ver?nderungen der Malware-Taktiken nach erstem Infoblox-Fund im April
– Die Open-Source-Software Pupy entpuppt sich als ein Deckmantel f?r die tats?chlichen Funktionalit?ten von Decoy Dog und zeigt damit den dringenden Bedarf an DNS-Sicherheit auf.
– Nach der ersten Ver?ffentlichung zu Decoy Dog von Infoblox im April, ergriffen die Hacker Ma?nahmen, um den Zugang zu bereits kompromittierten Ger?ten weiterhin aufrechtzuerhalten.
– Infoblox beobachtet die Situation weiterhin, baut die Bedrohung nach und erstellt ausgefeilte DNS-Erkennungsalgorithmen, um weitere versteckte Bedrohungen zu entsch?rfen.
Santa Clara, Kalifornien, 07. August 2023 – Infoblox, Anbieter einer einfachen, Cloud-basierten Netzwerk- und Sicherheitsplattform f?r bessere Netzwerk-Performance und -Absicherung, ver?ffentlichte heute einen zweiten Threat Report zum Trojaner “Decoy Dog”, der umfangreiche Updates beinhaltet. Bei “Decoy Dog” handelt es sich um einen Remote Access Trojan (RAT), der im April 2023 entdeckt wurde. Diese Malware nutzt das Domain Name System (DNS), um Command-and-Control (C2) Kommunikation zu etablieren, und steht im Verdacht, ein geheimes Tool f?r laufende Cyberangriffe zu sein, die von staatlichen Akteuren ausgehen.
Staatliche Hacker hinter Decoy Dog vermutet
Die Bedrohungsakteure haben nach der Enth?llung des Toolkits durch Infoblox im April schnell reagiert und ihre Systeme angepasst, um einen kontinuierlichen Betrieb zu gew?hrleisten. Dies deutet darauf hin, dass die Aufrechterhaltung des Zugangs zu den Ger?ten der Opfer weiterhin hohe Priorit?t f?r die Angreifer hat. Laut der aktuellen Analyse hat sich die Malware au?erdem weiterverbreitet und wird inzwischen von mindestens drei Akteuren eingesetzt. Obwohl Decoy Dog auf dem Open-Source-RAT Pupy basiert, handelt es sich um eine grundlegend neue, bisher unbekannte Malware mit einer Vielzahl an Funktionen, die auf einem kompromittierten Ger?t bestehen bleiben. Viele Aspekte von Decoy Dog sind nach wie vor unbekannt, aber alle Anzeichen deuten darauf hin, dass es sich um staatliche Hacker handelt. Infoblox hat einen neuen Datensatz mit DNS-Verkehr ver?ffentlicht, der von den Infoblox-Servern erfasst wurde, um die Branche bei der weiteren Untersuchung der C2-Systeme zu unterst?tzen.
Reaktion der Hacker auf erste Ver?ffentlichung
Erstmals berichtete die Infoblox Threat Intelligence Group im April ?ber Decoy Dog. Das Vorgehen zur Aufdeckung war damals schon ungew?hnlich, da Decoy eine Schw?che im aktuellen Threat-Intelligence-?kosystem ausnutzt: Normalerweise findet die Industrie Malware und identifiziert dann Signaturen. Im Fall von Decoy Dog war es aber umgekehrt: Mithilfe von DNS konnten die wichtigsten Merkmale des Toolkits aufgedeckt werden und daraus lie? sich ableiten, dass eine Malware-Attacke im Gang ist. Mit gro? angelegten DNS-Analysen konnte Infoblox wichtige Merkmale der Malware, sowie der Akteure, die sie einsetzen, eruieren. Unmittelbar nach der ersten Ank?ndigung in den sozialen Medien reagierten die Decoy Dog-Bedrohungsakteure auf die Enth?llungen von Infoblox auf unterschiedliche Weise. Einige der im Infoblox-Bericht vom April 2023 erw?hnten Nameserver wurden abgeschaltet, w?hrend andere ihre Opfer auf neue Server migrierten.
Neue Erkenntnisse ?ber Decoy Dog und Pupy
Die Infoblox Threat Intelligence Group hat die Entwicklungen seither weiter beobachtet und ?berwacht aktuell 21 Decoy Dog-Domains. Einige von ihnen wurden innerhalb des letzten Monats registriert und eingesetzt.
Die neuesten Erkenntnisse:
– Die Art und Weise der Malware-Kommunikation erm?glicht beispielsweise den R?ckschluss, dass die Zahl der kompromittierten Ger?te relativ gering ist.
– Infoblox konnte Unterscheidungsmerkmale zwischen Decoy Dog und Pupy feststellen.
– Decoy Dog verf?gt ?ber eine ganze Reihe leistungsstarker, bisher unbekannter Funktionen. Zum Beispiel k?nnen, Opfer auf einen anderen Controller verschoben werden. Damit wird die Kommunikation mit kompromittierten Rechnern aufrechterhalten und bleibt auch ?ber lange Zeitr?ume hinweg verborgen. Einige Opfer haben ?ber ein Jahr lang aktiv mit einem Decoy Dog-Server kommuniziert.
“Decoy Dog ist eine ernsthafte und anhaltende Bedrohung, da uns der Einblick in die zugrunde liegenden Opfersysteme und in die Schwachstellen fehlt, die von den Angreifern genutzt werden”, so die Einsch?tzung von Dr. Renee Burton, Head of Threat Intelligence bei Infoblox. “Die beste Verteidigung gegen diese Malware ist DNS. B?sartige Aktivit?ten bleiben oft unbemerkt, weil DNS als entscheidende Komponente im Sicherheits-?kosystem untersch?tzt wird. Nur Unternehmen mit einer starken DNS-Schutzstrategie k?nnen sich vor dieser Art von versteckten Bedrohungen sch?tzen.”
Das verborgene Potenzial von DNS f?r die Security
Das Risiko ist gro?, dass sich Decoy Dog weiterverbreitet. Dabei nutzt die Malware die h?ufig fehlende DNS-?berwachung in Netzwerken aus. Tats?chlich kommt in ?ber 90 %* aller Malware-Programme irgendeine Form von DNS zum Einsatz. Das Buch “The Hidden Potential of DNS in Security” umfasst alles, was Security-Experten ?ber DNS wissen sollten – von Lookalike Domains, Domain Generated Algorithms (DGAs), DNS-Tunneling, Datenexfiltration ?ber DNS, den Gr?nden, warum Hacker DNS nutzen bis hin zur Abwehr dieser Angriffe. Eine Kopie des Buches ist bei Amazon erh?ltlich.
“DNS sollte die “first-line of Defense” f?r Unternehmen sein, um Bedrohungen wie Decoy Dog zu erkennen und zu entsch?rfen”, erkl?rt Scott Harrell, President und CEO von Infoblox. “DNS-Detection- & Responsel?sungen wie BloxOne? Threat Defense von Infoblox bieten Unternehmen eine schl?sselfertige Verteidigung, die andere XDR-L?sungen nicht bieten k?nnen. Das Beispiel Decoy Dog zeigt, dass wir Bedrohung blockieren k?nnen, bevor sie ?berhaupt als Malware bekannt sind. Denn wir analysieren die Taktiken und Techniken der Angreifer und entwickeln ein tiefes Verst?ndnis f?r ihre Vorgehensweise.”
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Sofern Sie Ihre Datenschutzeinstellungen ändern möchten z.B. Erteilung von Einwilligungen, Widerruf bereits erteilter Einwilligungen klicken Sie auf nachfolgenden Button.
Einstellungen
