DNS kullanımı yoluyla tespit edilmekten kaçan, uzun süredir devam eden bir kötü amaçlı yazılım araç seti kampanyasının keşfine göz atacağız.
Infoblox’taki araştırmacılar, Decoy Dog adlı vahşi doğada kullanılan yeni bir araç seti keşfettiler. Kuruluşları hedefler ve Pupy RAT adlı bir uzaktan erişim truva atını dağıtmaya bayılır.
RAT’tan gelen aktivite ilk olarak bu ayın başlarında fark edildi. Daha sonraki araştırmalar, en az geçen yıl Nisan ayından beri faaliyette olduğunu ortaya çıkardı. İlk iki alan, Komuta ve Kontrol merkezleri (C2) olarak kullanılıyordu ve C2 iletişimlerinin neredeyse tamamı Rusya’dan geliyordu.
Oradan, daha fazla araştırma, Pupy bileşenleriyle ilgili olmayan bir DNS imzası belirledi. Bu imza o kadar benzersizdi ki varlığı, Sadece açık kaynak Pupy RAT, ancak dağıtım için Decoy Dog araç takımı kullanılıyor. Infoblox, Decoy Dog için bu benzersiz DNS imzasının “İnternetteki 370 milyon aktif alanın %0,0000027’sinden daha azıyla eşleşir”.
Pupy’nin kendisi, çok sayıda ulus devlet saldırısında ve diğer ciddi tavizlerde görüldü. 2020’de, bir Avrupa elektrik birliği ihlalinin merkezinde yer alıyordu. Başka yerlerde, 2017’de Suudi Arabistan’daki Devlet ve teknoloji sektörlerini hedef alan Magic Hound adlı bir kampanyanın parçası olarak görüldü.
Pupy RAT, ağlarda uzun süre saklanma konusunda çok iyidir ve Windows, Linux ve mobil dahil olmak üzere birçok platforma bulaşabilir. C2 ile DNS üzerinden iletişim kurar. Bu, küçük ayak izi nedeniyle tespit edilmesini daha yaygın kötü amaçlı etkinlik biçimlerinden daha zor hale getirir. Açık kaynak yapısı, güvenlik ekiplerini tetikte tutmak için korumalı alanların algılanması, keylogger’ların yüklenmesi veya bir hedef sistemden hash’lerin boşaltılması gibi her türlü değişikliğin yapılabileceği anlamına gelir.
Etkili DNS sunucusu yapılandırmalarının yanı sıra aracı kullanmak için gereken becerinin bir sonucu olarak, kurulumu veya kullanımı kolay değildir. Bu, sizin ortalama DIY yatak odası kodlu kötü amaçlı yazılım işleminiz değildir ve bunu kullanan herkes ne yaptığını bilir.
Şu anda herhangi bir tüketici hedefinin Decoy Dog/Pupy RAT kombinasyonu tarafından vurulduğuna dair bir kanıt yok. Şimdiye kadar, Infoblox ve danıştığı diğer güvenlik satıcılarının tümü kurumsal tabanlıydı. Bu mantıklı; Bu türden bir şeyin insanlara evlerinde çarptığını görmek oldukça tuhaf olurdu. Bir kuruluş değilseniz veya “tüketici olmayan büyük kurumsal cihazlar” kullanmıyorsanız, bu durumla karşılaşmanız pek olası değildir.
Ek olarak, yukarıdakilerin hangi sektörü hedef aldığına dair paylaşılan bir veri yok, bu nedenle burada risk altındaki belirli bir iş alanı mı yoksa bu kurulumların arkasındaki grubun rastgele hedefler mi seçtiğini söylemek şu anda imkansız. Biri eskisinden şüphelenebilirdi. Enerji sektörü birçok tarihsel Pupy saldırısında ortaya çıksa da bu, burada durumun böyle olduğu anlamına gelmez. Decoy Dog ve Pupy RAT ile ilgili soruşturmalar devam ediyor, bu nedenle şimdilik bu özel ağ ele geçirme dalgasının hala nadir görülen bir şey olduğunu ummalıyız.
Malwarebytes kullanıcıları bu tehdide karşı korunur.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE