Wouter Hoeffnagel - 27 juli 2023

Analyse: Malware Decoy Dog is gevaarlijker dan gedacht

De malware Decoy Dog is gevaarlijker dan gedacht, blijkt uit een analyse van Infoblox. Inmiddels zijn er drie actoren die de malware inzetten. Het bedrijf vermoedt dat de malware is ontwikkeld door statelijke actoren. Zo is het aantal aanvallen relatief klein en zeer gericht, wat niet strookt met een financiële motivatie.

Analyse: Malware Decoy Dog is gevaarlijker dan gedacht image

Dit blijkt een tweede threat report met updates over ‘Decoy Dog’ die Infoblox publiceert. De malware is in april 2023 door het bedrijf ontdekt. Het gaat om een Remote Access Trojan (RAT) toolkit die communiceert met een Russisch IP-adres en organisaties over de hele wereld onopgemerkt aanvalt. Hoewel gebaseerd op de open-source RAT Pupy, is Decoy Dog een fundamenteel nieuw en tot nu toe onbekend stuk malware met een sterke grip op gehackte apparaten. De malware maakt gebruik van DNS om command- en controlcommunicatie (C2) tot stand te brengen.

Toegang behouden prioriteit voor aanvallers

Nadat Infoblox de eerste keer over Decoy Dog publiceerde, pasten de actoren hun systemen razendsnel aan om in bedrijf te blijven. Dit geeft aan dat behoud van toegang tot apparaten van slachtoffers een hoge prioriteit heeft. Sommige actoren haalden de nameservers die Infoblox had geïdentificeerd offline, terwijl andere actoren hun slachtoffers migreerden naar nieuwe servers – een eerder onbekende mogelijkheid. Decoy Dog is bovendien lastig te detecteren en blijkt bij sommige slachtoffers maar liefst een jaar lang onontdekt actief te zijn geweest.

Er is een aanzienlijk risico dat het gebruik van Decoy Dog zal blijven groeien. Infoblox spreekt van een wereldwijde dreiging voor organisaties. Op dit moment zijn DNS-detectie- en responssystemen de enige middelen om Decoy Dog te detecteren en hiertegen te verdedigen.

'Een serieuze bedreiging'

"Het gebrek aan inzicht in de onderliggende systemen van slachtoffers en de kwetsbaarheden die worden misbruikt, maakt Decoy Dog een voortdurende en serieuze bedreiging", aldus Dr. Renée Burton, Head of Infoblox Threat Intelligence. "De beste verdediging tegen deze malware is DNS. Maar criminele activiteit wordt vaak niet opgemerkt, omdat DNS onvoldoende wordt gemonitord. Alleen bedrijven met een sterke DNS-beveiligingsstrategie kunnen zichzelf beschermen tegen dit soort verborgen dreigingen."

Daarnaast dringt Infoblox aan op kennisdeling tussen security-professionals om organisaties beter te helpen beschermen. Infoblox heeft zelf een nieuwe dataset vrijgegeven met het DNS-verkeer dat is vastgelegd vanaf hun servers om verder branche-onderzoek naar de C2-systemen te ondersteunen. In totaal monitort Infoblox 20 Decoy Dog-domeinen, waarvan sommige de afgelopen maand zijn geregistreerd en ingezet. En dat aantal kan dus groeien. "We vragen onze branchecollega’s dit onderzoek samen voort te zetten en bevindingen met elkaar te delen", zegt Scott Harrell, President en CEO van Infoblox daarom tot besluit.

DIC Awards 5/12/2024 t/m 20/03/2025 BW HPE 25/12/2024 t/m 31/12/2024 BW
Bitdefender 30/12/2024 t/m 6/1/2025 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!