You have not selected any currencies to display

Bl0ckch41nnewsDecoy Dog: nuevo kit de herramientas de malware

47


Un análisis de más de 70.000 millones de registros DNS ha permitido descubrir
un nuevo y sofisticado conjunto de herramientas de malware, denominado
Decoy Dog, dirigido a redes empresariales.

Decoy Dog, como su nombre indica, es evasivo y emplea técnicas como el
envejecimiento estratégico de dominios y las consultas DNS, en el que se
transmiten una serie de consultas a los dominios de control (C2) para no
levantar sospechas.


«Decoy Dog es un conjunto de herramientas cohesionado con una serie de
características muy inusuales que lo hacen únicamente identificable, en
particular cuando se examinan sus dominios a nivel de DNS»
,
afirmó Infoblox
en un aviso publicado a finales del mes pasado.

La empresa de ciberseguridad, que identificó el malware a principios de abril
de 2023 a raíz de una actividad anómala de balizamiento de DNS, afirmó que sus
características atípicas le permitieron mapear dominios adicionales que forman
parte de la infraestructura de ataque.

Dicho esto, el uso de Decoy Dog en la naturaleza es «muy raro», ya que la
firma DNS coincide con menos del 0,0000027% de los 370 millones de dominios
activos en Internet, según la empresa con sede en California.

Uno de los principales componentes del kit de herramientas es
Pupy RAT, un troyano de código abierto que se distribuye mediante un método llamado
DNS Tunneling, en el que las consultas y respuestas DNS se utilizan como C2 para soltar
sigilosamente cargas útiles.

Vale la pena señalar que el uso de la plataforma cruzada Pupy RAT se ha
relacionado con actores de estado-nación de China como
Earth Berberoka
(aka GamblingPuppet) en el pasado, aunque no hay pruebas que sugieran la
participación del actor en esta campaña.

Una investigación más profunda sobre Decoy Dog sugiere que la operación se
había puesto en marcha al menos un año antes de su descubrimiento, con tres
configuraciones de infraestructura distintas detectadas hasta la fecha.

Otro aspecto crucial es el inusual comportamiento de balizamiento DNS asociado
a los dominios Decoy Dog, de forma que se adhieren a un patrón de peticiones
DNS periódicas, pero infrecuentes, para pasar desapercibidos.


«Los
dominios Decoy Dog
pueden agruparse en función de los registradores, servidores de nombres, IP
y proveedores de DNS dinámicos que comparten»
, afirma Infoblox.

Dados los otros puntos en común entre los dominios Decoy Dog, esto es
indicativo de un actor de amenazas que evoluciona gradualmente sus tácticas, o
de múltiples actores de amenazas que despliegan el mismo conjunto de
herramientas en diferentes infraestructuras.

Fuente:
THN



Source link

Los comentarios están cerrados.