Decoy Dog zeigt seine hässliche Fratze
Die Open-Source-Software Pupy entpuppt sich als trojanischer Deckmantel für Decoy Dog und lenkt damit die Aufmerksamkeit auf die dringende Notwendigkeit von DNS-Sicherheit. Nachdem Infoblox im April erstmals über Decoy Dog berichtet hatte, ergreifen die Hacker nun Gegenmaßnahmen, um den Zugang zu bereits kompromittierten Geräten aufrechtzuerhalten.
Infoblox hat vor kurzem einen zweiten Threat Report zu Decoy Dog veröffentlicht, einem gefährlichen Remote Access Trojan (RAT), der das Domain Name System (DNS) nutzt, um Command-and-Control (C2) Kommunikation zu etablieren. Die Bedrohung wurde erstmals im April 2023 entdeckt und steht im Verdacht, von staatlichen Akteuren in Cyberangriffen eingesetzt zu werden.
Nach der Enthüllung von Decoy Dog durch Infoblox im April reagierten die Hacker schnell und nahmen Anpassungen vor, um den Zugang zu den bereits kompromittierten Geräten aufrechtzuerhalten. Dies deutet darauf hin, dass die Aufrechterhaltung des Zugriffs auf die Opfergeräte nach wie vor hohe Priorität für die Angreifer hat. Gemäß der aktuellen Analyse hat sich die Malware weiter ausgebreitet und wird nun von mindestens drei verschiedenen Akteuren eingesetzt. Obwohl Decoy Dog auf dem Open-Source-RAT Pupy basiert, handelt es sich um eine grundlegend neue und bisher unbekannte Malware mit einer Vielzahl von Funktionen, die darauf abzielen, auf einem infizierten Gerät verborgen zu bleiben.
Infoblox überwacht die Entwicklungen kontinuierlich und hat einen neuen Datensatz mit DNS-Verkehr veröffentlicht, der von den Infoblox-Servern erfasst wurde, um die Cybersecurity-Branche bei der weiteren Untersuchung der C2-Systeme zu unterstützen.
Decoy Dog bleibt eine ernsthafte und anhaltende Bedrohung, da den Sicherheitsexperten wichtige Einblicke in die betroffenen Opfersysteme und die genutzten Schwachstellen fehlen. Eine effektive DNS-Schutzstrategie ist daher von entscheidender Bedeutung, um sich vor versteckten Bedrohungen wie Decoy Dog zu schützen. Die Malware nutzt oft die mangelnde DNS-Überwachung in Netzwerken aus, weshalb DNS als erste Verteidigungslinie für Unternehmen betrachtet werden sollte.
Infoblox betont die Notwendigkeit, DNS-Detection- und Response-Lösungen einzusetzen, um Unternehmen eine wirksame Verteidigung zu bieten. Diese Lösungen ermöglichen es, Bedrohungen zu blockieren, bevor sie überhaupt als Malware bekannt sind, indem die Taktiken und Techniken der Angreifer analysiert werden und ein tiefes Verständnis für ihre Vorgehensweise entwickelt wird.
Laut der National Security Agency nutzen mehr als 90 % der Malware-Angriffe DNS, um die Kontrolle über bestimmte Netzwerke zu übernehmen. Da die Malware gerne die oft fehlende DNS-Überwachung in Netzwerken ausnutzt, ist das Risiko einer weiteren Verbreitung von Decoy Dog hoch. Es ist daher von entscheidender Bedeutung, dass Unternehmen eine robuste DNS-Schutzstrategie implementieren, um sich vor solchen versteckten Bedrohungen zu schützen und die Sicherheit ihrer Netzwerke zu gewährleisten. Die vollständige zweite Studie gibt es hier.
Infoblox veröffentlichte einen zweiten Threat Report zum Trojaner „Decoy Dog“, der umfangreiche Updates beinhaltet.
