Decoy Dog Malware Upgraded to Include New Features
2023/07/25 InfoSecurity — 今日に発表された Infoblox の脅威レポートにより、Decoy Dog という RAT ツールキットの最新情報が公開された。この Decoy Dog は、2023年4月に発見・公開されたものであるが、DNS を Command and Control (C2) に使用するという特徴を持ち、以前に考えられていたよりも巧妙なことが判明しており、現在進行中の国家によるサイバー攻撃で使用されている疑いがある。そのツールキットを Infoblox を公開した後に、背後で操る脅威アクターは迅速に対応し、侵害したデバイスへのアクセスを維持するためにシステムを適応させている。
なお、現時点において、このマルウェアは少なくとも3グループのアクターたちにより運用されており、その範囲も拡大している。オープンソースの RAT である Pupy をベースにした Decoy Dog は、感染したデバイス上で持続する高度な機能を備えた、未知のマルウェアだとされる。いまでは、被害者を異なるコントローラに移動させ、侵害したマシンとの通信を長期間維持している。被害者の中には、Decoy Dog のサーバと1年以上も通信しているケースもある。
Infoblox の CEO である Scott Harrell は、「DNS が、Decoy Dog のような脅威を検知すべきであり、また、組織の最初の防御ラインとして機能すべきだということは、直感的に理解できる。Decoy Dog で実証されたように、攻撃者の戦術やテクニックを研究し、深く理解することで、このようなマルウェアが登場する前に脅威をブロックできる」と述べている。
このマルウェアの C2 システムを詳細まで調査するために、Infoblox のサーバからキャプチャされた DNS トラフィックなどの、新しいデータセットがリリースされた。
Infoblox の head of threat intelligence である Dr. Renée Burton は、「被害者のシステムや悪用されている脆弱性について、洞察が不足しているため、現時点における Decoy Dog は深刻な脅威となっている。このマルウェアに対する最善の防御策は DNS である。セキュリティ・エコシステムにおける重要なコンポーネントとして、DNS は過小評価されているため、悪意の活動に気付かないことが多々ある。この種の隠れた脅威から身を守れるのは、強力な DNS 保護戦略を持つ企業だけだ」と付け加えている。
彼は、8月9日にラスベガスで開催される Black Hat で、”Decoy Dog is No Ordinary Pupy” と題した講演で洞察を披露するという。
また、Infoblox の研究者たちは、同社のブースで Pupy コントローラを使った実践的な課題を提供し、クライアントとサーバ間の通信を中継するために、DNS トラフィックを悪用する方法を実演するという。
Decoy Dog に関しては、2023/04/23 の「DNS クエリ 700億を調査:Decoy Dog というマルウェア・ツールキットを発見」で取り上げています。Infoblox は継続して、この問題を追いかけているようです。また、2023/03/15 の「Emotet や QSnatch などが御用達:DNS を悪意のハイウェイとして活用するマルウェアたち」も、関連記事として挙げられます。よろしければ、DNS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.