Decoy Dog-malware na nieuwe analyse gevaarlijker dan gedacht
Decoy Dog, de nieuwe malware die in april is ontdekt door Infoblox, lijkt na analyse gevaarlijker dan gedacht. Deze Remote Access Trojan (RAT) toolkit communiceert met een Russisch IP-adres en valt organisaties over de hele wereld onopgemerkt aan. Analyses geven nu aan dat de malware inmiddels door drie actoren wordt ingezet. En hoewel er nog veel onduidelijk is over Decoy Dog, wijst alles erop dat statelijke actoren achter deze malware zitten. Zo is het aantal aanvallen relatief klein en zeer gericht, wat niet strookt met een financiële motivatie.
Hoewel gebaseerd op de open-source RAT Pupy, is Decoy Dog een fundamenteel nieuw en tot nu toe onbekend stuk malware met een sterke grip op gehackte apparaten. De malware maakt gebruik van DNS om command- en controlcommunicatie (C2) tot stand te brengen.
Infoblox publiceert nu een tweede threat report met cruciale updates over ‘Decoy Dog’. Nadat Infoblox de eerste keer over Decoy Dog publiceerde, pasten de actoren hun systemen razendsnel aan om in bedrijf te blijven. Dit geeft aan dat behoud van toegang tot apparaten van slachtoffers een hoge prioriteit heeft. Sommige actoren haalden de nameservers die Infoblox had geïdentificeerd offline, terwijl andere actoren hun slachtoffers migreerden naar nieuwe servers – een eerder onbekende mogelijkheid. Decoy Dog is bovendien lastig te detecteren en blijkt bij sommige slachtoffers maar liefst een jaar lang onontdekt actief te zijn geweest.
Netwerken niet veilig zonder DNS en branchesamenwerking
Er is een aanzienlijk risico dat het gebruik van Decoy Dog zal blijven groeien – een wereldwijde dreiging voor organisaties. Op dit moment zijn DNS-detectie- en responssystemen de enige middelen om Decoy Dog te detecteren en hiertegen te verdedigen.
“Het gebrek aan inzicht in de onderliggende systemen van slachtoffers en de kwetsbaarheden die worden misbruikt, maakt Decoy Dog een voortdurende en serieuze bedreiging”, aldus Dr. Renée Burton, Head of Infoblox Threat Intelligence. “De beste verdediging tegen deze malware is DNS. Maar criminele activiteit wordt vaak niet opgemerkt, omdat DNS onvoldoende wordt gemonitord. Alleen bedrijven met een sterke DNS-beveiligingsstrategie kunnen zichzelf beschermen tegen dit soort verborgen dreigingen.”
Daarnaast dringt Infoblox aan op kennisdeling tussen security-professionals om organisaties beter te helpen beschermen. Infoblox heeft zelf een nieuwe dataset vrijgegeven met het DNS-verkeer dat is vastgelegd vanaf hun servers om verder branche-onderzoek naar de C2-systemen te ondersteunen. In totaal monitort Infoblox 20 Decoy Dog-domeinen, waarvan sommige de afgelopen maand zijn geregistreerd en ingezet. En dat aantal kan dus groeien. “We vragen onze branchecollega’s dit onderzoek samen voort te zetten en bevindingen met elkaar te delen”, zegt Scott Harrell, President en CEO van Infoblox daarom tot besluit.
