È stato scoperto un nuovo e sofisticato kit malware chiamato “Decoy Dog” che prende di mira le reti aziendali, grazie all’analisi di oltre 70 miliardi di record DNS. Decoy Dog si distingue per l’utilizzo di tecniche evasive come l’invecchiamento strategico dei domini e il “DNS query dribbling”.
Caratteristiche del malware Decoy Dog
Decoy Dog è un kit di strumenti coeso e presenta alcune caratteristiche insolite che lo rendono unico, in particolare quando si esaminano i suoi domini a livello di DNS, come riportato da Infoblox in un avviso pubblicato lo scorso mese. La società di cybersecurity ha identificato il malware all’inizio di aprile 2023 a seguito di un’attività anomala di “beaconing” DNS e ha affermato che le sue caratteristiche atipiche hanno permesso di mappare domini aggiuntivi facenti parte dell’infrastruttura di attacco.
L’uso di Decoy Dog e il coinvolgimento di Pupy RAT
L’uso di Decoy Dog nel mondo reale è “molto raro”, con la firma DNS che corrisponde a meno dello 0,0000027% dei 370 milioni di domini attivi su Internet, secondo la società con sede in California. Uno dei principali componenti del kit è Pupy RAT, un trojan open source distribuito tramite un metodo chiamato “DNS tunneling”, in cui le query e le risposte DNS vengono utilizzate come C2 per rilasciare in modo furtivo i payload.
Collegamenti con attori statali e comportamenti insoliti dei domini
È importante notare che l’uso del Pupy RAT multipiattaforma è stato associato in passato ad attori statali cinesi come Earth Berberoka (alias GamblingPuppet), sebbene non ci siano prove che suggeriscano il coinvolgimento dell’attore in questa campagna. Ulteriori indagini su Decoy Dog indicano che l’operazione era stata allestita almeno un anno prima della sua scoperta, con tre diverse configurazioni dell’infrastruttura rilevate fino ad oggi.
Un altro aspetto cruciale è l’insolito comportamento di “beaconing” DNS associato ai domini Decoy Dog, in quanto aderiscono a un modello di richieste DNS periodiche, ma infrequenti, per evitare di attirare l’attenzione. “I domini Decoy Dog possono essere raggruppati in base ai loro registrar condivisi, server di nomi, IP e fornitori di DNS dinamico”, ha affermato Infoblox.