Infoblox veröffentlichte heute einen zweiten Threat Report zum Trojaner „Decoy Dog“. Bei „Decoy Dog“ handelt es sich um einen Remote Access Trojan (RAT), der im April 2023 entdeckt wurde. Diese Malware nutzt das Domain Name System (DNS), um Command-and-Control (C2) Kommunikation zu etablieren, und steht im Verdacht, ein geheimes Tool für laufende Cyberangriffe zu sein, die von staatlichen Akteuren ausgehen.
Die Bedrohungsakteure haben nach der Enthüllung des Toolkits durch Infoblox im April schnell reagiert und ihre Systeme angepasst, um einen kontinuierlichen Betrieb zu gewährleisten. Dies deutet darauf hin, dass die Aufrechterhaltung des Zugangs zu den Geräten der Opfer weiterhin hohe Priorität für die Angreifer hat.
Laut der aktuellen Analyse hat sich die Malware außerdem weiterverbreitet und wird inzwischen von mindestens drei Akteuren eingesetzt. Obwohl Decoy Dog auf dem Open-Source-RAT Pupy basiert, handelt es sich um eine grundlegend neue, bisher unbekannte Malware mit einer Vielzahl an Funktionen, die auf einem kompromittierten Gerät bestehen bleiben.
Viele Aspekte von Decoy Dog sind nach wie vor unbekannt, aber alle Anzeichen deuten darauf hin, dass es sich um staatliche Hacker handelt. Infoblox hat einen neuen Datensatz mit DNS-Verkehr veröffentlicht, der von den Infoblox-Servern erfasst wurde, um die Branche bei der weiteren Untersuchung der C2-Systeme zu unterstützen.
Reaktion der Hacker auf erste Veröffentlichung
Erstmals berichtete die Infoblox Threat Intelligence Group im April über Decoy Dog. Das Vorgehen zur Aufdeckung war damals schon ungewöhnlich, da Decoy eine Schwäche im aktuellen Threat-Intelligence-Ökosystem ausnutzt: Normalerweise findet die Industrie Malware und identifiziert dann Signaturen.
Im Fall von Decoy Dog war es aber umgekehrt: Mithilfe von DNS konnten die wichtigsten Merkmale des Toolkits aufgedeckt werden und daraus ließ sich ableiten, dass eine Malware-Attacke im Gang ist. Mit groß angelegten DNS-Analysen konnte Infoblox wichtige Merkmale der Malware, sowie der Akteure, die sie einsetzen, eruieren.
Unmittelbar nach der ersten Ankündigung in den sozialen Medien reagierten die Decoy Dog-Bedrohungsakteure auf die Enthüllungen von Infoblox auf unterschiedliche Weise. Einige der im Infoblox-Bericht vom April 2023 erwähnten Nameserver wurden abgeschaltet, während andere ihre Opfer auf neue Server migrierten.
Neue Erkenntnisse über Decoy Dog und Pupy
Die Infoblox Threat Intelligence Group hat die Entwicklungen seither weiter beobachtet und überwacht aktuell 21 Decoy Dog-Domains. Einige von ihnen wurden innerhalb des letzten Monats registriert und eingesetzt. Die neuesten Erkenntnisse:
- Die Art und Weise der Malware-Kommunikation ermöglicht beispielsweise den Rückschluss, dass die Zahl der kompromittierten Geräte relativ gering ist.
- Infoblox konnte Unterscheidungsmerkmale zwischen Decoy Dog und Pupy feststellen.
- Decoy Dog verfügt über eine ganze Reihe leistungsstarker, bisher unbekannter Funktionen. Zum Beispiel können, Opfer auf einen anderen Controller verschoben werden. Damit wird die Kommunikation mit kompromittierten Rechnern aufrechterhalten und bleibt auch über lange Zeiträume hinweg verborgen. Einige Opfer haben über ein Jahr lang aktiv mit einem Decoy Dog-Server kommuniziert.
„Decoy Dog ist eine ernsthafte und anhaltende Bedrohung, da uns der Einblick in die zugrunde liegenden Opfersysteme und in die Schwachstellen fehlt, die von den Angreifern genutzt werden“, so die Einschätzung von Dr. Renée Burton, Head of Threat Intelligence bei Infoblox.
„Die beste Verteidigung gegen diese Malware ist DNS. Bösartige Aktivitäten bleiben oft unbemerkt, weil DNS als entscheidende Komponente im Sicherheits-Ökosystem unterschätzt wird. Nur Unternehmen mit einer starken DNS-Schutzstrategie können sich vor dieser Art von versteckten Bedrohungen schützen."
Das verborgene Potenzial von DNS für die Security
Das Risiko ist groß, dass sich Decoy Dog weiterverbreitet. Dabei nutzt die Malware die häufig fehlende DNS-Überwachung in Netzwerken aus. Tatsächlich kommt in über 90% aller Malware-Programme irgendeine Form von DNS zum Einsatz.
„DNS sollte die ‚first-line of Defense‘ für Unternehmen sein, um Bedrohungen wie Decoy Dog zu erkennen und zu entschärfen. DNS-Detection- & Responselösungen wie BloxOne Threat Defense von Infoblox bieten Unternehmen eine schlüsselfertige Verteidigung, die andere XDR-Lösungen nicht bieten können“, erklärt Scott Harrell, President und CEO von Infoblox.
„Das Beispiel Decoy Dog zeigt, dass wir Bedrohung blockieren können, bevor sie überhaupt als Malware bekannt sind. Denn wir analysieren die Taktiken und Techniken der Angreifer und entwickeln ein tiefes Verständnis für ihre Vorgehensweise.“