おとり犬マルウェア

サイバーセキュリティ研究者は、新たに特定されたマルウェアである Decoy Dog の包括的な調査を実施した結果、これがその基盤であるオープンソースのリモート アクセス トロイの木馬Pupy RAT と比較して大幅な進歩を示していることを発見しました。

Decoy Dog は、これまで公開されていなかった広範囲にわたる強力な機能を示し、より洗練された脅威として際立っています。その注目すべき機能の 1 つは、被害者を代替コントローラに再配置する機能であり、これにより、マルウェアの背後にいる悪意のある攻撃者が、長期間にわたって検出を回避しながら、侵害されたマシンとの通信を維持できるようになります。注目すべきことに、被害者が知らずに 1 年以上にわたって Decoy Dog サーバーとやり取りしていた例があり、この悪意のあるソフトウェアのステルス性と復元力が浮き彫りになっています。

Decoy Dog マルウェアには拡張された脅威機能が装備されています

最近特定されたマルウェアである Decoy Dog は、他とは異なるいくつかの新しい機能を備えています。特に、Decoy Dog はクライアント上で任意の Java コードを実行する機能を備えており、より広範なアクションが可能になっています。

さらに、このマルウェアには、緊急制御装置に接続するための従来の DNS ドメイン生成アルゴリズム (DGA) に似たメカニズムが装備されています。このメカニズムには、侵害されたクライアントからの再実行された DNS クエリに応答するように Decoy Dog ドメインを設計することが含まれます。このアプローチを通じて、Decoy Dog の背後にある悪意のある攻撃者は、侵害されたデバイスの通信を現在のコントローラから別のコントローラに効果的に再ルーティングできます。この重要なコマンドは、侵害されたデバイスに対して、現在のコントローラとの通信を停止し、新しいコントローラとの接続を確立するように指示します。

この洗練されたツールキットの発見は、異常な DNS ビーコン アクティビティの検出をきっかけとして、2023 年 4 月初旬に発生しました。この暴露により、このマルウェアが特に企業ネットワークを狙った高度に標的を絞った攻撃であることが明らかになりました。

Decoy Dog マルウェアの背後にいるサイバー犯罪者は特定の地域を標的にする可能性がある

Decoy Dog の起源はまだ明確に確立されていませんが、国家ハッカーの選ばれたグループによって運営されているのではないかと疑われています。これらのハッカーは、クライアント通信の構造に沿った受信リクエストに応答する際に、独特の戦術を採用するため、サイバーセキュリティ環境において強力かつとらえどころのない脅威となっています。

Decoy Dog は、コマンド アンド コントロール (C2) 操作にドメイン ネーム システム (DNS) を効果的に利用します。デバイスがこのマルウェアに感染すると、DNS クエリと IP アドレス応答を通じて指定されたコントローラー (サーバー) との通信を確立し、コントローラーからの指示を受け取ります。

サイバーセキュリティの専門家によって暴露された後、Decoy Dog の背後にある攻撃者は、特定の DNS ネームサーバーを停止し、リモートでの永続性と継続的な制御を確保するために新しい代替ドメインを即座に登録することで迅速に行動しました。これにより、侵害された既存のクライアントを新しいコントローラーに転送することができ、被害者へのアクセスを維持するという決意が示されました。

Decoy Dog の最初の展開は、2022 年 3 月下旬から 4 月上旬まで遡ります。それ以来、このマルウェアの他の 3 つのクラスターが検出されており、それぞれが異なるコントローラーによって操作されています。これまでに、合計 21 の Decoy Dog ドメインが特定されています。さらに、2023 年 4 月以降に登録された 1 セットのコントローラーは、ジオフェンシング技術を実装することで戦術を適応させました。この技術は、クライアント IP アドレスへの応答を特定の地理的位置に制限し、観察されたアクティビティは主にロシアと東ヨーロッパの地域に限定されています。