Un nouveau kit d’outils de logiciels malveillants, “Decoy Dog”, cible activement les réseaux d’entreprise depuis un an. Les chercheurs ont identifié Decoy Dog après avoir analysé des milliards de requêtes DNS.
Le logiciel malveillant Decoy Dog cible activement les entreprises
Partageant les détails dans un récent article de blog, la société de cybersécurité Infoblox a dévoilé un nouveau kit d’outils de logiciels malveillants, “Decoy Dog”, menant des campagnes actives dans la nature.
Les chercheurs ont commencé à s’intéresser à la question après avoir détecté des milliards de requêtes DNS malveillantes. Ils ont analysé au moins 70 milliards de requêtes DNS pour trouver un modèle DNS similaire provenant de 0,0000027 % de tous les domaines actifs dans le monde. Ce qui les a alarmés à propos de ces requêtes DNS, c’est leur particularité – elles renvoyaient des adresses IP impossibles à résoudre, ce qui est la quintessence du ministère américain de la défense ou des campagnes d’hameçonnage malveillantes.
En analysant plus avant la question, les chercheurs ont détecté que ces requêtes étaient générées à partir de réseaux d’entreprise. Ensuite, les communications C2 ont été reliées à des hôtes russes.
Finalement, les chercheurs ont pu trouver un PupyRAT lié à cette activité. Le kit d’outils du logiciel malveillant Decoy Dog aurait déployé PupyRAT sur des réseaux d’entreprises cibles.
Alors que la plupart des domaines associés à cette campagne étaient liés au kit d’outils, certains domaines ne l’étaient pas, ce qui laisse entendre qu’ils peuvent être laissés pour compte pour le vieillissement des domaines.
Le chercheur a détecté pour la première fois Decoy Dog dans la nature en avril 2023. Cependant, l’analyse des domaines leur a permis de déduire que le kit d’outils est devenu actif en avril 2022.
On ne sait toujours pas si toutes les activités de Decoy Dog proviennent du même acteur de la menace. Il est également possible que les créateurs aient mis en place Decoy Dog pour un usage commercial, laissant de nombreux acteurs de la menace utiliser le kit d’outils pour différents logiciels malveillants.
En outre, les chercheurs ont découvert que Decoy Dog se concentrait généralement sur les réseaux d’entreprise, épargnant les appareils grand public. Néanmoins, les réseaux d’entreprise ciblés peuvent inclure des petites et des grandes entreprises.
Pour atténuer ces attaques, Infoblox conseille aux entreprises de déployer des listes de blocage sur leurs réseaux afin d’empêcher les requêtes DNS malveillantes. Ils ont également partagé les CIO pour le kit d’outils, que les organisations peuvent utiliser pour configurer les filtres.
Fais-nous part de tes réflexions dans les commentaires.
