Une nouvelle boîte à outils de logiciels malveillants ciblant les entreprises appelée « Decoy Dog » a été découverte après avoir inspecté le trafic DNS anormal qui se distingue de l’activité Internet normale.

Decoy Dog aide les acteurs de la menace à échapper aux méthodes de détection standard grâce au vieillissement stratégique des domaines et au dribble des requêtes DNS, dans le but d’établir une bonne réputation auprès des fournisseurs de sécurité avant de passer à la facilitation des opérations de cybercriminalité.

Les chercheurs d’Infoblox ont découvert la boîte à outils début avril 2023 dans le cadre de son analyse quotidienne de plus de 70 milliards d’enregistrements DNS pour rechercher des signes d’activité anormale ou suspecte.

Infoblox rapporte que l’empreinte DNS de Decoy Dog est extrêmement rare et unique parmi les 370 millions de domaines actifs sur Internet, ce qui facilite son identification et son suivi.

Ainsi, l’enquête sur l’infrastructure de Decoy Dog a rapidement conduit à la découverte de plusieurs domaines C2 (commande et contrôle) qui étaient liés à la même opération, la plupart des communications de ces serveurs provenant d’hôtes en Russie.

Une enquête plus approfondie a révélé que les tunnels DNS sur ces domaines avaient des caractéristiques qui pointaient vers Pupy RAT, un cheval de Troie d’accès à distance déployé par la boîte à outils Decoy Dog.

Pupy RAT est une boîte à outils de post-exploitation open source modulaire populaire parmi les acteurs de la menace parrainés par l’État pour être furtif (sans fichier), prendre en charge les communications C2 cryptées et les aider à fusionner leurs activités avec d’autres utilisateurs de l’outil.

Le projet Pupy RAT prend en charge les charges utiles dans tous les principaux systèmes d’exploitation, y compris Windows, macOS, Linux et Android. Comme les autres RAT, il permet aux acteurs de la menace d’exécuter des commandes à distance, d’élever les privilèges, de voler les informations d’identification et de se propager latéralement à travers un réseau.

Les acteurs moins qualifiés n’utilisent pas Pupy RAT, car le déploiement de l’outil avec la configuration de serveur DNS correcte pour les communications C2 nécessite des connaissances et de l’expertise.

« Cette signature en plusieurs parties (DNS) nous a donné une grande confiance dans le fait que les domaines (corrélés) n’utilisaient pas seulement Pupy, mais qu’ils faisaient tous partie de Decoy Dog – une grande boîte à outils unique qui déployait Pupy d’une manière très spécifique sur l’entreprise ou grands appareils organisationnels, non-consommateurs », a révélé Infoblox dans son rapport.

De plus, les analystes ont découvert un comportement de balisage DNS distinct sur tous les domaines Decoy Dog qui sont configurés pour suivre un modèle particulier de génération de requêtes DNS périodiques mais peu fréquentes.

Les enquêtes sur les détails d’hébergement et d’enregistrement de domaine ont révélé que l’opération Decoy Dog était en cours depuis début avril 2022, elle est donc restée sous le radar pendant plus d’un an malgré les domaines de la boîte à outils montrant des valeurs aberrantes extrêmes dans les analyses.

La découverte de Decoy Dog démontre la puissance de l’utilisation d’analyses de données à grande échelle pour détecter une activité anormale dans l’immensité d’Internet.

« Infoblox a répertorié les domaines de Decoy Dog dans son rapport et les a ajoutés à sa liste de « domaines suspects » pour aider les défenseurs, les analystes de la sécurité et les organisations ciblées à se protéger contre cette menace sophistiquée », expliquent les chercheurs d’InfoBlox.

« La découverte de Decoy Dog, et surtout, le fait que plusieurs domaines apparemment sans rapport utilisaient la même boîte à outils rare était le résultat de cette combinaison de processus automatiques et humains. »

Parce que la situation est complexe et que nous nous sommes concentrés sur les aspects DNS de la découverte, nous nous attendons à ce que plus de détails viennent de l’industrie, en plus de nous-mêmes, à l’avenir. »

La société a également partagé des indicateurs de compromis sur son référentiel public GitHub, qui peut être utilisé pour un ajout manuel dans des listes de blocage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *