Redazione RHC : 27 Aprile 2023 11:19
Gli esperti di Infoblox hanno scoperto un nuovo set di malware chiamato “Decoy Dog”. Decoy Dog aiuta gli aggressori a eludere i metodi di rilevamento standard attraverso l'”invecchiamento del dominio” strategico e la clonazione delle query DNS e per creare una buona reputazione con i fornitori di sicurezza.
I ricercatori di Infoblox hanno scoperto tale malware all’inizio di questo mese analizzando oltre 70 miliardi di record DNS alla ricerca di segni di attività sospette.
Gli esperti riferiscono che l’impronta DNS di Decoy Dog è estremamente rara e unica tra i 370 milioni di domini attivi su Internet, rendendo molto più facile l’identificazione e il monitoraggio. Decoy Dog ha portato rapidamente alla scoperta di diversi server C2 associati alla stessa operazione.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Ulteriori indagini hanno rivelato che i tunnel DNS dei domini scoperti avevano caratteristiche che puntavano a Pupy RAT, un trojan di accesso remoto distribuito dal toolkit Decoy Dog.
Pupy RAT è un toolkit post-sfruttamento open source popolare tra gli aggressori statali per la sua azione invisibile, il supporto per le comunicazioni C2 crittografate e l’assistenza nel collaborare e coordinarsi con altri utenti dello strumento.
Il progetto Pupy RAT supporta i payload su tutti i principali sistemi operativi desktop e mobili, inclusi Windows, macOS, Linux e Android. Come altri RAT, consente agli aggressori di eseguire comandi in remoto, elevare privilegi, rubare credenziali e diffondersi in una rete compromessa.
Gli analisti hanno riscontrato un comportamento diverso dei beacon DNS su tutti i domini honeypot configurati per seguire uno schema specifico di query DNS generate periodicamente.
L’operazione Decoy Dog è iniziata all’inizio dello scorso aprile ed è rimasta inosservata per più di un anno.
Infoblox ha elencato i domini Decoy Dog nel proprio rapporto e li ha aggiunti all’elenco dei “Domini sospetti” per aiutare gli analisti della sicurezza e le organizzazioni a proteggersi da questa sofisticata minaccia.
La società ha anche condiviso indicatori di compromissione sul suo repository GitHub pubblico, che può essere utilizzato per aggiungere manualmente alle blacklist.
RedazioneUn nuovo strumento chiamato SpamGPT è apparso sui forum underground ed è rapidamente diventato oggetto di discussione nel campo della sicurezza informatica. Il software malevolo combina le capacità...
Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) al laboratorio Santa Rita. Disclaimer: Questo rapporto include screenshot e/o t...
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
