Infoblox Inc., compañía especializada en ciberseguridad y gestión de servicios core de red a través de plataformas cloud, ha publicado un nuevo informe con actualizaciones críticas sobre el Troyano de Acceso Remoto (RAT) denominado «Decoy Dog», detectado por primera vez en abril de 2023. «Decoy Dog» es un toolkit que permite crear firmas DNS anómalas difíciles de detectar, para enmascarar comunicaciones Command and Control (C2) hacia servidores de actores maliciosos.
En su último análisis, recogido en el informe “Decoy Dog is no ordinary pupy: Separating a Sly DNS Malware from the Pack”, Infoblox ha detectado que los actores de amenazas han respondido rápidamente a la identificación por parte de la compañía de este toolkit de malware, y han adaptado sus técnicas para burlar las contramedidas adoptadas y poder seguir operando y accediendo a los dispositivos de las víctimas. Inmediatamente después de anunciar la identificación de esta amenaza, algunos de los servidores de nombres mencionados en el informe de abril de 2023 de Infoblox fueron eliminados, mientras que otros migraron a nuevos servidores.
El análisis muestra que el uso de este tipo de malware se ha extendido, con al menos tres actores que lo utilizan en estos momentos. Se desconocen aún muchos aspectos relacionados con Decoy Dog, pero todos los indicios apuntan a actores dependientes de determinados estados, lo que se conoce como actores estado-nación.
Análisis DNS y detección de patrones de comunicaciones
La identificación de las características clave de este malware y de los actores que están detrás de estos ataques ha sido posible gracias al análisis a gran escala de tráfico DNS. Infoblox ha seguido rastreando las actividades y ha podido identificar patrones de comunicaciones relacionados con esta actividad maliciosa.
También se ha conseguido diferenciar con bastante exactitud los patrones de comunicaciones y actividad relacionados con Decoy Dog de otros ataques maliciosos similares del tipo Pupy. Se ha conocido también que Decoy Dog dispone de un conjunto completo de funcionalidades muy potentes desconocidas hasta ahora, como la capacidad de trasladar a las víctimas a otro controlador, lo que les permite mantener la comunicación con las máquinas comprometidas y permanecer ocultas durante largos períodos de tiempo.
La identificación de este malware ha sido posible únicamente gracias a los algoritmos de detección de amenazas de DNS. Infoblox está monitorizando actualmente 20 dominios de Decoy Dog, algunos de los cuales se han registrado e implementado durante el último mes. Este toolkit explota una debilidad de la toda la comunidad de ciberseguridad a nivel mundial relacionada con el ecosistema de inteligencia de malware.
Gran capacidad de resiliencia frente a la detección
Aunque se basa en un RAT de código abierto comúnmente conocido como Pupy, Decoy Dog es un malware radicalmente nuevo, desconocido con anterioridad, con funcionalidades únicas que le confieren una enorme resiliencia a la hora de permanecer en los sistemas comprometidos. Se ha descubierto, por ejemplo, que algunos sistemas comprometidos han estado comunicándose y transmitiendo información a un servidor Decoy Dog durante más de un año sin que esta actividad haya sido detectada.
Renée Burton, responsable de la Unidad Threat Intelligence de Infoblox y la mayor experta de la compañía en esta amenaza, ha comentado: “La falta de información sobre los sistemas comprometidos y las vulnerabilidades que se explotan convierte a Decoy Dog en una amenaza continua y grave. La mejor defensa contra este malware es el control de DNS. La actividad maliciosa a menudo pasa desapercibida porque el DNS está infravalorado como un componente crítico en el ecosistema de seguridad. Solo las empresas con una sólida estrategia de protección de DNS pueden protegerse de este tipo de amenazas ocultas”.
Existe un riesgo significativo de que el uso de troyanos como Decoy Dog continúe creciendo poniendo en peligro a organizaciones de todo el mundo. Actualmente, el único medio conocido para detectar y defenderse contra amenazas tipo Decoy Dog/Pupy es el uso de sistemas de detección y respuesta de DNS como BloxOne® Threat Defense de Infoblox. La mejor defensa de las organizaciones contra estos ataques es la protección a nivel de DNS, dentro de cada red. Los clientes de BloxOne® Threat Defense de Infoblox permanecen protegidos contra Decoy Dog y estos actores de amenazas maliciosos conocidos.
Scott Harrell, presidente y CEO de Infoblox, ha comentado: “tenemos claro que DNS debería ser la primera línea de defensa a la hora de detectar y mitigar amenazas como Decoy Dog. Infoblox es la mejor solución de respuesta y detección de DNS del mercado, que proporciona a las empresas una defensa llave en mano que otras soluciones XDR no son capaces de proporcionar. Como se ha demostrado, con Decoy Dog, estudiar y entender las tácticas y técnicas del atacante nos permite bloquear las amenazas incluso antes de que se conozcan como malware”.
Infoblox en el evento BlackHat (Las Vegas, 9-10 agosto de 2023)
Infoblox estará presente en BlackHat. En el marco del evento y relacionada con esta amenaza, Renée Burton dará una conferencia el miércoles 9 de agosto titulada «Decoy Dog is not an ordinary Pupy», en la que analizará en detalle los últimos hallazgos realizados por la compañía en relación con este troyano. Durante el evento, los asistentes podrán reunirse con expertos de Infoblox y participar en demos en vivo con una serie de retos prácticos utilizando un controlador Pupy, así como charlas adicionales sobre Decoy Dog y Pupy. Estas demos permitirán a los participantes ver de primera mano cómo se puede utilizar el tráfico DNS para transmitir comunicaciones maliciosas entre sistemas cliente y el servidor y poder entender mejor la grave amenaza que representa este malware.
Infoblox: simplificar la gestión conjunta de la red y la seguridad en entornos híbridos complejos y multicloud
Infoblox es la única compañía capaz de proporcionar visibilidad y control en tiempo real sobre quién y qué se conecta a la red para ayudar a los clientes a crear entornos más seguros y resistentes. Con Infoblox, los departamentos de NetOps y SecOps disponen ahora de visibilidad compartida, datos contextualizados, capacidades mejoradas automatización y control, que permiten identificar la fuente de amenazas e impedir el tráfico de malware, lo que lleva el rendimiento y la protección de la red a un nivel superior.
Como pionera en soluciones de seguridad de DNS, Infoblox cuenta con capacidades únicas a la hora de integrar la gestión de DNS e inteligencia de activos de TI, para ayudar a los clientes a mejorar el rendimiento y la protección, permitiéndoles prevenir y responder rápidamente a cualquier ataque.
