De Threat Intelligence Group van Infoblox waarschuwt voor een nieuwe dreiging Decoy Dog. Dit is een malware-toolkit die communiceert met een Russisch IP-adres en organisaties over de hele wereld onopgemerkt aanvalt.
Deze malware, die opereert op DNS-niveau, is heel lastig te ontdekken.
Begin april 2023 ontdekte en valideerde Infoblox een eerder onbekende remote access trojan (RAT), malware die actief was binnen meerdere bedrijfsnetwerken. Het werd snel duidelijk dat dit om gerichte aanvallen ging. Nu bevestigen de onderzoekers dat al deze aanvallen zijn te herleiden naar de Decoy Dog-toolkit.
Aanvallen verlopen via zogenoemde Command-and-Control (C2) servers, die via malware netwerkcommunicatie kunnen kapen om zo controle uit te oefenen op geïnfecteerde netwerken en apparaten. I
In het geval van deze RAT – de open source-rat ‘Pupy’ – wordt het DNS-protocol gebruikt om controle te krijgen over besmette apparaten. In de ‘oceaan’ van DNS-verkeer valt de beperkte data-uitwisseling tussen de C2-server en besmette apparaten niet snel op. Hierdoor zijn deze aanvallen erg moeilijk te detecteren als ze niet in de context van een wereldwijd dreigingsinformatiesysteem worden geanalyseerd.
Infoblox geeft het dringende advies aan organisaties om de volgende domeinen onmiddellijk te blokkeren en verdere risico’s te onderzoeken:
claudfront[.]net
allowlisted[.]
atlas-upd[.]com
ads-tm-glb[.]click
cbox4[.]ignorelist[.]com
hsdps[.]cc
