Decoy Dog ist alles andere als ein gewöhnlicher Trojaner. Nach seinem Fund im April 2023 hat er wieder seine Malware-Taktiken geändert. Die Hacker ergriffen Maßnahmen, um den Zugang zu bereits kompromittierten Geräten weiterhin aufrechtzuerhalten. Via DNS-Erkennungsalgorithmen lässt sich der Angreifer sicher aushebeln.
Der zweite Threat Report von Infoblox zum Trojaner „Decoy Dog“ beinhaltet umfangreiche Updates. Bei „Decoy Dog“ handelt es sich um einen Remote Access Trojan (RAT), der im April 2023 entdeckt wurde. Diese Malware nutzt das Domain Name System (DNS), um Command-and-Control (C2) Kommunikation zu etablieren, und steht im Verdacht, ein geheimes Tool für laufende Cyberangriffe zu sein, die von staatlichen Akteuren ausgehen.
Staatliche Hacker hinter Decoy Dog vermutet
Die Bedrohungsakteure haben nach der Enthüllung des Toolkits durch Infoblox im April schnell reagiert und ihre Systeme angepasst, um einen kontinuierlichen Betrieb zu gewährleisten. Dies deutet darauf hin, dass die Aufrechterhaltung des Zugangs zu den Geräten der Opfer weiterhin hohe Priorität für die Angreifer hat. Laut der aktuellen Analyse hat sich die Malware außerdem weiterverbreitet und wird inzwischen von mindestens drei Akteuren eingesetzt.
Obwohl Decoy Dog auf dem Open-Source-RAT Pupy basiert, handelt es sich um eine grundlegend neue, bisher unbekannte Malware mit einer Vielzahl an Funktionen, die auf einem kompromittierten Gerät bestehen bleiben. Viele Aspekte von Decoy Dog sind nach wie vor unbekannt, aber alle Anzeichen deuten darauf hin, dass es sich um staatliche Hacker handelt. Infoblox hat einen neuen Datensatz mit DNS-Verkehr veröffentlicht, der von den Infoblox-Servern erfasst wurde, um die Branche bei der weiteren Untersuchung der C2-Systeme zu unterstützen.
Das verborgene Potenzial von DNS für die Security
Das Risiko ist groß, dass sich Decoy Dog weiterverbreitet. Dabei nutzt die Malware die häufig fehlende DNS-Überwachung in Netzwerken aus. Tatsächlich kommt in über 90 % (laut National Security Agency) aller Malware-Programme irgendeine Form von DNS zum Einsatz. Das Buch „The Hidden Potential of DNS in Security“ umfasst alles, was Security-Experten über DNS wissen sollten – von Lookalike Domains, Domain Generated Algorithms (DGAs), DNS-Tunneling, Datenexfiltration über DNS, den Gründen, warum Hacker DNS nutzen bis hin zur Abwehr dieser Angriffe. Eine Kopie des Buches ist bei Amazon erhältlich.
Mehr bei Infoblox.com
Über Infoblox
Infoblox vereint Netzwerkmanagement und -Security und sorgt damit für eine außergewöhnliche Performance und optimalen Schutz. Sowohl Fortune-100-Unternehmen als auch aufstrebende junge Unternehmen schätzen Infoblox für die Echtzeittransparenz und -kontrolle darüber, wer und was sich mit ihrem Netzwerk verbindet. So können Unternehmen schneller arbeiten und Bedrohungen früher stoppen.