Decoy Dog: Jenis Malware Baru yang Mengancam Jaringan Perusahaan

Cyberthreat.id - Analisis yang lebih dalam terhadap malware yang baru ditemukan bernama Decoy Dog telah mengungkapkan bahwa ini merupakan peningkatan yang signifikan atas Pupy RAT, sebuah trojan akses jarak jauh sumber terbuka yang menjadi modelnya.

"Decoy Dog memiliki rangkaian lengkap kemampuan yang kuat dan sebelumnya tidak diketahui - termasuk kemampuan untuk memindahkan korban ke pengontrol lain, memungkinkan mereka untuk menjaga komunikasi dengan mesin yang disusupi dan tetap tersembunyi untuk jangka waktu yang lama," kata Infoblox dalam laporan Selasa sebagaimana dikutip The Hacker News.

"Beberapa korban telah aktif berkomunikasi dengan server Decoy Dog selama lebih dari setahun."

Fitur baru lainnya memungkinkan malware untuk mengeksekusi kode Java yang sewenang-wenang pada klien dan terhubung ke pengontrol darurat menggunakan mekanisme yang mirip dengan algoritma pembuatan domain DNS tradisional (DGA), dengan domain Decoy Dog direkayasa untuk menanggapi permintaan DNS yang diputar ulang dari klien yang dilanggar.

Toolkit canggih ini pertama kali ditemukan oleh perusahaan keamanan siber pada awal April 2023 setelah mendeteksi aktivitas suar DNS yang tidak normal, mengungkapkan serangannya yang sangat bertarget terhadap jaringan perusahaan.

Asal-usul Decoy Dog masih belum jelas, tetapi diduga dioperasikan oleh segelintir peretas negara-bangsa, yang menggunakan taktik berbeda tetapi menanggapi permintaan masuk yang sesuai dengan struktur komunikasi klien.

Decoy Dog memanfaatkan sistem nama domain (DNS) untuk melakukan perintah-dan-kontrol (C2). Titik akhir yang disusupi oleh malware berkomunikasi dengan, dan menerima instruksi dari, pengontrol (yaitu, server) melalui kueri DNS dan respons alamat IP.

Pelaku ancaman di balik operasi tersebut dikatakan telah melakukan penyesuaian cepat pada infrastruktur serangan mereka sebagai tanggapan atas pengungkapan sebelumnya, menghapus beberapa server nama DNS serta mendaftarkan domain pengganti baru untuk menetapkan persistensi jarak jauh.

"Alih-alih menghentikan operasi mereka, aktor mentransfer klien yang sudah disusupi ke pengontrol baru," kata Infoblox. "Ini adalah respons luar biasa yang menunjukkan bahwa aktor merasa perlu mempertahankan akses ke korban mereka yang ada."

Penyebaran Decoy Dog pertama yang diketahui dimulai pada akhir Maret atau awal April 2022, setelah itu tiga klaster lain terdeteksi berada di bawah kendali pengontrol yang berbeda. Sebanyak 21 domain Decoy Dog telah terdeteksi hingga saat ini.

Terlebih lagi, satu set pengontrol yang terdaftar sejak April 2023 telah diadaptasi dengan menggabungkan teknik geofencing untuk membatasi respons ke alamat IP klien ke lokasi tertentu, dengan aktivitas yang diamati terbatas di Rusia dan Eropa Timur.

"Kurangnya wawasan tentang sistem korban yang mendasari dan kerentanan yang dieksploitasi membuat Decoy Dog menjadi ancaman yang berkelanjutan dan serius," kata Dr. Renée Burton, kepala intelijen ancaman di Infoblox. "Pertahanan terbaik melawan malware ini adalah DNS."[]