Die Threat Intelligence Group von Infoblox hat eine kritische Sicherheitsbedrohung entdeckt und veröffentlicht hat, die sie “Decoy Dog” nennt. Dabei handelt es sich um ein Malware-Toolkit, das sich über eine russische IP-Adresse verbreitet hat und gezielt Unternehmen weltweit angreift – und dabei unentdeckt bleibt.
Diese Aktivität wurde auf DNS-Ebene entdeckt, ist extrem schwer zu erkennen und steht im Einklang mit den Aktivitäten eines nationalstaatlichen APT-Akteurs (Advanced Persistent Threat). Ein Beitrag von Renée Burton, Leiterin der Threat Intelligence Group von Infoblox, machte den Fund letzte Woche auf Mastodon bekannt.
Am Donnerstag, den 20. April, wird Infoblox weitere Einzelheiten über das Decoy Dog Toolkit und die Bedeutung einer DNS-Schutzstrategie veröffentlichen.
Zusammenfassung der Bedrohung:
- Infoblox hat Anfang April 2023 einen bisher unbekannten Remote-Access-Trojaner (RAT) entdeckt und validiert, der in mehreren Unternehmensnetzwerken aktiv ist. Bei diesem RAT handelt es sich nicht um eine allgemeine Bedrohung für Verbrauchergeräte. Infoblox ist nun in der Lage, mit hoher Sicherheit zu bestätigen, dass alle Einsätze dieser Aktivität von einem einzigen Toolkit ausgehen. Infoblox bezeichnet dieses Toolkit als “Decoy Dog”.
- Diese C2-Kommunikation war aufgrund einer geringen Anzahl von Datenabfragen in einem großen Pool von DNS-Daten sehr schwer zu finden. Dieses RAT nutzt DNS als C2-Kanal, über den der böswillige Akteur die Kontrolle über die internen Geräte hat. Dieser RAT ist seit April 2022 aktiv – er war ein ganzes Jahr lang unentdeckt. Es hinterlässt einen Fußabdruck im DNS, der isoliert extrem schwer zu erkennen ist, aber bei der Analyse in einem globalen cloudbasierten DNS-Schutzsystem wie BloxOne Threat Defense ein starkes Ausreißerverhalten zeigt.
- Die C2-Kommunikation von Decoy Dog erfolgt über DNS und basiert auf einem Open-Source-RAT namens Pupy. Obwohl es sich um ein Open-Source-Projekt handelt, wurde es immer wieder mit staatlichen Akteuren in Verbindung gebracht.
- Infoblox hat aktive C2-Kommunikation in den USA, Europa, Südamerika und Asien in den Bereichen Technologie, Gesundheitswesen, Energie, Finanzen und anderen Sektoren beobachtet.
- Unternehmen, die über ein schützendes DNS verfügen, können diese Domains sofort blockieren und so ihr Risiko mindern, während sie weitere Nachforschungen anstellen.
Zu blockierende C2-Domains:
Infoblox rät Unternehmen dringend, diese Domains jetzt zu blockieren.
● claudfront[.]net
● allowlisted[.]net
● atlas-upd[.]com
● ads-tm-glb[.]click
● cbox4[.]ignorelist[.]com
● hsdps[.]cc
Die Auswirkungen
Die Infoblox Threat Intelligence Group geht davon aus, dass dieser Satz von Beacons nur in begrenzten Netzwerken vorhanden ist, und zwar anscheinend auf gewöhnlichen Netzwerkgeräten wie Firewalls und nicht auf Benutzergeräten wie Laptops oder Mobilgeräten. Das Vorhandensein eines unentdeckten Remote Access Trojaners (RAT) in einem Netzwerk gibt dem Angreifer die Kontrolle über das Gerät.