La società di sicurezza informatica Infoblox, a seguito di attività anomale di beaconing DNS, ha identificato all’inizio di aprile 2023 Decoy Dog un toolkit malware con caratteristiche atipiche che lo rendono identificabile in modo univoco.
Un aspetto distintivo è infatti l’insolito comportamento nel beaconing DNS associato ai domini Decoy Dog, che prevede uno schema di richieste DNS periodiche e poco frequenti, che li rende pertanto difficili da rilevare senza una soluzione DNS preventiva. Il beaconing DNS lo ricordiamo prevede che un host compromesso effettui regolari richieste DNS a un dominio appartenente a un server DNS controllato da un utente malintenzionato, consentendo all’attaccante di rispondere alla richiesta, nascondendo i comandi all’interno delle risposte DNS.
Inoltre uno dei componenti principali del toolkit sarebbe Pupy RAT, un trojan open source distribuito tramite DNS tunneling, in cui le query e le risposte DNS vengono utilizzate nella comunicazione C2 per rilasciare in modo furtivo i payload.
Sebbene secondo la società californiana l’utilizzo di Decoy Dog in natura sia molto raro, con una incidenza pari allo 0,0000027% rispetto a tutti domini attivi su Internet, lo studio indica che dietro il toolkit ci sia un attore delle minacce che evolve gradualmente le proprie tattiche o di più attori delle minacce che distribuiscono lo stesso toolkit su infrastrutture diverse.
Ulteriori dettagli sul post Infoblox.