Kit de herramientas de malware Decoy Dog detectado a través de consultas DNS

Iniciado por AXCESS, Abril 26, 2023, 05:29:05 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Compartiendo los detalles en una publicación de blog reciente, la firma de seguridad cibernética Infoblox ha presentado un nuevo kit de herramientas de malware, "Decoy Dog", que ejecuta campañas activas en la naturaleza.

Tal como se explicó, los investigadores sintieron curiosidad por el asunto al detectar miles de millones de consultas de DNS maliciosas.

Escanearon al menos 70 mil millones de consultas de DNS para encontrar un patrón de DNS similar del 0,0000027 % de todos los dominios activos a nivel mundial.

Lo que los alarmó sobre las consultas de DNS fue su peculiaridad: devolvieron direcciones IP irresolubles, algo por excelencia del Departamento de Defensa de EE. UU. o campañas de phishing maliciosas.

Al analizar más a fondo el asunto, los investigadores detectaron estas consultas generadas desde las redes empresariales.

Luego, las comunicaciones C2 se vincularon de nuevo a los hosts rusos.

Eventualmente, los investigadores podrían encontrar PupyRAT relacionado con esta actividad.

El kit de herramientas de malware Decoy Dog supuestamente implementó PupyRAT en las redes empresariales de destino. Si bien la mayoría de los dominios asociados con esta campaña se vincularon con el kit de herramientas, algunos dominios no lo hicieron, lo que sugiere que se pueden dejar para el envejecimiento del dominio.

El investigador detectó por primera vez a Decoy Dog en la naturaleza en abril de 2023. Sin embargo, el análisis de los dominios les hizo deducir que el conjunto de herramientas se activó en abril de 2022.

No está claro si toda la actividad de Decoy Dog se origina en el mismo actor de amenazas.

Alternativamente, los creadores podrían haber configurado Decoy Dog para uso comercial, permitiendo que numerosos actores de amenazas usen el kit de herramientas para diferentes programas maliciosos. Además, los investigadores encontraron que Decoy Dog generalmente se enfocaba solo en redes empresariales, ahorrando dispositivos de consumo.

No obstante, sus redes empresariales de destino pueden incluir empresas pequeñas y grandes por igual.

Para mitigar tales ataques, Infoblox aconseja a las empresas que implementen listas de bloqueo en sus redes para evitar consultas de DNS maliciosas. También han compartido los IOC para el kit de herramientas, que las organizaciones pueden usar para configurar los filtros.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta