Infoblox Inc., la empresa que ofrece una plataforma de redes y seguridad habilitada para la nube y simplificada para un rendimiento y protección mejorados, publicó hoy un segundo informe de amenazas con actualizaciones críticas sobre «Decoy Dog», el troyano de acceso remoto (RAT) que descubrieron y divulgaron en abril de 2023. El malware utiliza DNS para establecer el comando y control (C2) y se sospecha que es una herramienta secreta utilizada en ataques cibernéticos de estado nacional en curso.
Los actores de amenazas respondieron rápidamente después de la divulgación de la herramienta por parte de Infoblox, adaptando sus sistemas para garantizar operaciones continuas, lo que indica que mantener el acceso a dispositivos de las víctimas sigue siendo una alta prioridad. El análisis muestra que el uso del malware se ha extendido, con al menos tres actores operándolo. Aunque está basado en el RAT de código abierto Pupy, Decoy Dog es un malware fundamentalmente nuevo, previamente desconocido, con muchas características para persistir en un dispositivo comprometido. Muchos aspectos de Decoy Dog siguen siendo un misterio, pero todas las señales apuntan a hackers de estado nacional. Infoblox publicó un nuevo conjunto de datos que contiene tráfico DNS capturado de los servidores de Infoblox para respaldar una mayor investigación de la industria sobre los sistemas C2.
La pregunta que muchos en la industria siguen haciéndose silenciosamente es: ¿Realmente estamos asegurando nuestra red si no monitoreamos nuestro DNS? Existe un riesgo significativo de que Decoy Dog y su uso sigan creciendo e impactando a organizaciones en todo el mundo. Actualmente, el único medio conocido para detectar y defenderse contra Decoy Dog/Pupy es mediante sistemas de Detección y Respuesta DNS como BloxOne® Threat Defense de Infoblox.
«Es intuitivo que DNS debería ser la primera línea de defensa para que las organizaciones detecten y mitiguen amenazas como Decoy Dog. Infoblox es la solución líder en la industria para la Detección y Respuesta DNS, brindando a las empresas una defensa integral que otras soluciones XDR pasarían por alto», dijo Scott Harrell, presidente y CEO de Infoblox. «Como se demostró con Decoy Dog, estudiar y comprender profundamente las tácticas y técnicas del atacante nos permite bloquear amenazas antes de que se conozcan como malware».
A través del análisis DNS a gran escala, Infoblox ha aprendido características clave del malware y de los actores que lo operan. Inmediatamente después del primer anuncio, cada actor de amenazas de Decoy Dog respondió a las revelaciones de Infoblox de diferentes maneras. Algunos de los servidores de nombres mencionados en el informe de abril de 2023 de Infoblox fueron desactivados, mientras que otros migraron a sus víctimas a nuevos servidores.
A pesar de sus esfuerzos por ocultarse, Infoblox ha continuado rastreando las actividades y desde entonces ha aprendido mucho más sobre ellos. Infoblox ha sido capaz de inferir la naturaleza de algunas comunicaciones y estima que el número de dispositivos comprometidos es relativamente pequeño. Infoblox también ha podido distinguir a Decoy Dog de Pupy y determinar que Decoy Dog tiene un conjunto completo de capacidades poderosas previamente desconocidas, incluida la capacidad de mover a las víctimas a otro controlador, lo que les permite mantener la comunicación con máquinas comprometidas y permanecer ocultos durante largos períodos de tiempo. Algunas víctimas han estado comunicándose activamente con un servidor de Decoy Dog durante más de un año.
«La falta de conocimiento sobre los sistemas y vulnerabilidades de las víctimas que están siendo explotadas hace que Decoy Dog sea una amenaza continua y seria», dijo la Dra. Renée Burton, Jefa de Inteligencia de Amenazas de Infoblox. «La mejor defensa contra este malware es el DNS. La actividad maliciosa a menudo pasa desapercibida porque el DNS está subvalorado como un componente crítico en el ecosistema de seguridad. Solo las empresas con una estrategia DNS protectora sólida pueden protegerse de este tipo de amenazas ocultas».
En total, Infoblox está monitoreando actualmente 20 dominios de Decoy Dog, algunos de los cuales fueron registrados e implementados en el último mes. Esta herramienta explota una debilidad inherente en el ecosistema de inteligencia centrada en el malware que domina la industria de la seguridad en la actualidad. Además, este malware fue descubierto únicamente gracias a algoritmos de detección de amenazas DNS. La mejor defensa de las organizaciones contra estos ataques es la protección a nivel DNS, dentro de cada red. Los clientes de BloxOne® Threat Defense de Infoblox siguen protegidos contra Decoy Dog y estos conocidos actores maliciosos
“Instamos a la industria a llevar adelante esta investigación, investigar más y compartir sus hallazgos”, agregó Harrell.
Experiencia Práctica en la Vida Real de Pupy en BlackHat: La Dra. Renée Burton discutirá en detalle por qué «Decoy Dog is No Ordinary Pupy», junto con otras definiciones clave, en la conferencia de ciberseguridad Black Hat en Las Vegas el miércoles 9 de agosto de 1:15 pm a 1:35 pm, hora del Pacífico. Durante la conferencia, los asistentes podrán reunirse con los investigadores de Infoblox y demostrar sus habilidades con una serie de desafíos prácticos utilizando un controlador Pupy en vivo a través de la experiencia Double Dog Dare de Infoblox.
También se realizarán breves presentaciones sobre Decoy Dog y Pupy en el teatro del stand los dos días. Esta experiencia única permitirá a los participantes ver de primera mano cómo se utiliza el tráfico DNS para transmitir comunicaciones entre el cliente y el servidor y comprender mejor la grave amenaza que representa este malware.
El Potencial Oculto del DNS en la Seguridad: Decoy Dog y Pupy aprovechan la falta de supervisión del DNS que a menudo ocurre en las redes. De hecho, más del 90%* de todo el malware utiliza DNS de alguna manera. Infoblox sabe que es imperativo que los profesionales de la seguridad comprendan las formas en que el malware explota el DNS y cómo la Detección y Respuesta DNS a menudo pueden frustrar estos ataques. Expertos en el campo han lanzado recientemente un nuevo libro titulado «The Hidden Potential of DNS in Security». Este libro brinda a los lectores todo lo que necesitan saber sobre dominios parecidos, algoritmos generadores de dominios (DGA), túneles DNS, extracción de datos a través de DNS, por qué los hackers utilizan DNS y cómo defenderse de estos ataques. Una copia del libro está disponible en Amazon.
Visite Infoblox en Black Hat en Las Vegas, en el stand #1286, el 9 y 10 de agosto para reunirse con el equipo de expertos y obtener más información sobre Decoy Dog/Pupy.
*Más del 90% de los ataques de malware aprovechan el DNS para establecer el comando y controlar en un objetivo rojo, según Anne Neuberger, Directora de Ciberseguridad de la Agencia de Seguridad Nacional.
Comentarios Cerrados