Decoy Dog, Malware Canggih Baru yang Bidik Jaringan Perusahaan
The Hacker News
Cyberthreat.id – Kini ditemukan perangkat malware canggih baru yang disebut Decoy Dog. Menargetkan jaringan persusahaan, malware ini ditemukan setelah proses analisis 70 miliar catatan DNS.
Decoy Dog, seperti namanya, mengelak dan menggunakan teknik seperti penuaan domain strategis dan dribbling kueri DNS, di mana serangkaian kueri ditransmisikan ke domain perintah-dan-kontrol (C2) agar tidak menimbulkan kecurigaan.
"Decoy Dog adalah perangkat kohesif dengan sejumlah karakteristik yang sangat tidak biasa yang membuatnya dapat diidentifikasi secara unik, terutama saat memeriksa domainnya pada tingkat DNS," kata Infoblox dalam sebuah catatan yang diterbitkan akhir bulan lalu sebagaimana dipublikasi The Hacker News.
Perusahaan keamanan siber, yang mengidentifikasi malware pada awal April 2023 setelah aktivitas beaconing DNS yang tidak normal, mengatakan bahwa karakteristiknya yang tidak biasa memungkinkannya untuk memetakan domain tambahan yang merupakan bagian dari infrastruktur serangan.
Konon, penggunaan Decoy Dog di alam liar "sangat jarang", dengan signed DNS yang cocok kurang dari 0,0000027% dari 370 juta domain aktif di internet, begitu kata perusahaan yang berbasis di California itu.
Salah satu komponen utama dari toolkit ini adalah Pupy RAT, sebuah trojan open source yang dikirimkan melalui metode yang disebut tunneling DNS, di mana kueri dan respons DNS digunakan sebagai C2 untuk menjatuhkan muatan secara diam-diam.
Perlu dicatat, kata The Hacker News, bahwa penggunaan Pupy RAT lintas platform telah dikaitkan dengan aktor negara-bangsa dari China seperti Earth Berberoka (alias GamblingPuppet) di masa lalu, meskipun tidak ada bukti yang menunjukkan keterlibatan aktor tersebut dalam kampanye ini.
Investigasi lebih lanjut terhadap Decoy Dog menunjukkan bahwa operasi tersebut telah dilakukan setidaknya setahun sebelum penemuannya, dengan tiga konfigurasi infrastruktur berbeda yang terdeteksi hingga saat ini.
Hal penting lainnya adalah perilaku beaconing DNS yang tidak biasa yang terkait dengan domain Decoy Dog, sehingga mereka mengikuti pola permintaan DNS secara berkala, tetapi jarang, sehingga terbang di bawah radar.
"Domain Decoy Dog dapat diperoleh berdasarkan pendaftar bersama, nama server, IP, dan penyedia DNS dinamis," kata Infoblox.
"Mengingat kesamaan lain antara domain Decoy Dog, ini menunjukkan salah satu pelaku ancaman secara bertahap mengembangkan taktik mereka, atau beberapa pelaku ancaman menggunakan perangkat yang sama pada infrastruktur yang berbeda."[]
