Canal de Telegram

2 may 2023

Segu-Info » » Decoy Dog: nuevo kit de herramientas de malware

Decoy Dog: nuevo kit de herramientas de malware

2 may 2023, 9:19:00 a.m.   Comenta primero!
   

Un análisis de más de 70.000 millones de registros DNS ha permitido descubrir un nuevo y sofisticado conjunto de herramientas de malware, denominado Decoy Dog, dirigido a redes empresariales.

Decoy Dog, como su nombre indica, es evasivo y emplea técnicas como el envejecimiento estratégico de dominios y las consultas DNS, en el que se transmiten una serie de consultas a los dominios de control (C2) para no levantar sospechas.

"Decoy Dog es un conjunto de herramientas cohesionado con una serie de características muy inusuales que lo hacen únicamente identificable, en particular cuando se examinan sus dominios a nivel de DNS", afirmó Infoblox en un aviso publicado a finales del mes pasado.

La empresa de ciberseguridad, que identificó el malware a principios de abril de 2023 a raíz de una actividad anómala de balizamiento de DNS, afirmó que sus características atípicas le permitieron mapear dominios adicionales que forman parte de la infraestructura de ataque.

Dicho esto, el uso de Decoy Dog en la naturaleza es "muy raro", ya que la firma DNS coincide con menos del 0,0000027% de los 370 millones de dominios activos en Internet, según la empresa con sede en California.

Uno de los principales componentes del kit de herramientas es Pupy RAT, un troyano de código abierto que se distribuye mediante un método llamado DNS Tunneling, en el que las consultas y respuestas DNS se utilizan como C2 para soltar sigilosamente cargas útiles.

Vale la pena señalar que el uso de la plataforma cruzada Pupy RAT se ha relacionado con actores de estado-nación de China como Earth Berberoka (aka GamblingPuppet) en el pasado, aunque no hay pruebas que sugieran la participación del actor en esta campaña.

Una investigación más profunda sobre Decoy Dog sugiere que la operación se había puesto en marcha al menos un año antes de su descubrimiento, con tres configuraciones de infraestructura distintas detectadas hasta la fecha.

Otro aspecto crucial es el inusual comportamiento de balizamiento DNS asociado a los dominios Decoy Dog, de forma que se adhieren a un patrón de peticiones DNS periódicas, pero infrecuentes, para pasar desapercibidos.

"Los dominios Decoy Dog pueden agruparse en función de los registradores, servidores de nombres, IP y proveedores de DNS dinámicos que comparten", afirma Infoblox.

Dados los otros puntos en común entre los dominios Decoy Dog, esto es indicativo de un actor de amenazas que evoluciona gradualmente sus tácticas, o de múltiples actores de amenazas que despliegan el mismo conjunto de herramientas en diferentes infraestructuras.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!