Nouvelles découvertes sur le malware discret de Command & Control

Suite à la découverte de la semaine dernière, le groupe de Threat Intelligence Infoblox a dévoilé un rapport plus complet sur la menace de sécurité critique “Decoy Dog” – un cheval de Troie d’accès à distance (RAT) et doté d’un système de Commande & Contrôle (C2).

Cette menace existe depuis 1 an (avril 2022) et a été conçue de manière à rester très discrète.

Ce cheval de Troie a créé une signature DNS anormale qui a été observée dans des réseaux d’entreprises de plusieurs secteurs tels que ceux de la technologie, de la santé, de l’énergie, et de la finance, ciblant de manière sélective de nombreuses organisations dans le monde entier.

Les caractéristiques du toolkit Decoy Dog sont les suivantes :

• Pupy RAT : Pupy est le principal malware du toolkit Decoy Dog. Bien qu’il s’agisse d’un logiciel malveillant open sourced, son déploiement en tant que DNS C2 n’est pas trivial, et son large éventail de fonctionnalités lui a valu d’être utilisé par des acteurs étatiques tels que Earth Berberoka.
• Signature DNS unique : Decoy Dog présente une signature DNS unique qui correspond à moins de 0,0000027 % des 370 millions de domaines actifs sur l’internet. Cette signature n’est pas présente dans les installations Pupy standard, ce qui indique fortement que les domaines sont déployés par le même toolkit, voire le même acteur.
• DNS Beaconing/comportement inattendu : Les domaines « Decoy Dog » présentent un schéma de requêtes DNS périodiques, mais peu fréquentes, qui les rend difficiles à détecter sans une solution DNS préventive. Il ne s’agit pas d’une qualité inhérente à Pupy, et le fait que tous les domaines présentent ce comportement indique qu’ils ont été configurés par la même source. Les algorithmes de détection des valeurs inattendues d’Infoblox ont classé les domaines de Decoy Dog en tête de sa liste d’activités suspectes en raison de leur comportement visiblement inhabituel.
• Hébergement partagé / similitudes d’enregistrement : Les domaines de Decoy Dog peuvent être regroupés par le fait qu’ils partagent : le même fournisseur en matière d’enregistrement de noms de domaine, les mêmes noms de serveurs, les mêmes IP et fournisseurs de DNS dynamiques. Compte tenu des autres points communs entre les domaines Decoy Dog, cela indique soit qu’un acteur de la menace fait évoluer progressivement ses tactiques, soit que plusieurs acteurs de la menace déploient le même toolkit sur des infrastructures différentes.
• Les entreprises sont principalement ciblées : Les domaines Decoy Dog n’ont été observés que sur des réseaux d’entreprise, et il n’y a aucune preuve que ces domaines soient actifs sur des équipements dédiés au grand public.

Certaines de ces communications étaient dirigées vers un système de contrôle à distance situé en Russie. Selon Infoblox, bien que le projet soit open-source, il est connu pour avoir été utilisé par des acteurs gouvernementaux.

Vous trouverez plus d’informations dans le rapport “Dog Hunt: Finding Decoy Dog Toolkit via Anomalous DNS Traffic”.