Nieuwe Russische malware ontdekt die organisaties wereldwijd bedreigt

publicatiedatum Apr. 24, 2023, 03:48 am EDT
Amsterdam, Nederland
Nieuwe Russische malware ontdekt die organisaties wereldwijd bedreigt
  • Infoblox waarschuwt voor nieuwe malware-toolkit ‘Decoy Dog’
  • Via Russische IP worden wereldwijd gerichte DNS-aanvallen gedaan op bedrijfsnetwerken
  • Aanvallen zijn lastig te spotten en vereisen daarom extra aandacht
  • Malware al sinds april 2022 actief

De Threat Intelligence Group van Infoblox waarschuwt voor een nieuwe dreiging: ‘Decoy Dog’. Dit is een malware-toolkit die communiceert met een Russisch IP-adres en organisaties over de hele wereld onopgemerkt aanvalt. Deze malware, die opereert op DNS-niveau, is heel lastig te spotten. Bovendien passen de activiteiten in het profiel van een Advanced Persistent Threat (APT)-actor met staatssteun.

Begin april 2023 ontdekte en valideerde Infoblox een eerder onbekende remote access trojan (RAT), malware die actief was binnen meerdere bedrijfsnetwerken. Het werd snel duidelijk dat dit om gerichte aanvallen ging. Nu bevestigen de onderzoekers dat al deze aanvallen zijn te herleiden naar de Decoy Dog-toolkit.

Aanvallen verlopen via zogenoemde Command-and-Control (C2) servers, die via malware netwerkcommunicatie kunnen kapen om zo controle uit te oefenen op geïnfecteerde netwerken en apparaten. In het geval van deze RAT – de open source-rat ‘Pupy’ – wordt het DNS-protocol gebruikt om controle te krijgen over besmette apparaten. In de oceaan van DNS-verkeer valt de beperkte data-uitwisseling tussen de C2-server en besmette apparaten niet snel op. Hierdoor zijn deze aanvallen erg moeilijk te detecteren als ze niet in de context van een wereldwijd dreigingsinformatiesysteem worden geanalyseerd.

De Infoblox Threat Intelligence-onderzoekers werken samen met andere organisaties om deze nieuwe dreiging in kaart te brengen én de identiteit en beweegredenen van de aanvallers te achterhalen. Er is actieve C2-communicatie gedetecteerd in de VS, Europa, Zuid-Amerika en Azië in uiteenlopende sectoren, van de gezondheidszorg tot de energiesector en financiële dienstverlening.

Infoblox geeft het dringende advies aan organisaties om de volgende domeinen onmiddellijk te blokkeren en verdere risico’s te onderzoeken:

  • claudfront[.]net
  • allowlisted[.]
  • atlas-upd[.]com
  • ads-tm-glb[.]click
  • cbox4[.]ignorelist[.]com
  • hsdps[.]cc

Lees hier het volledige rapport over Decoy Dog.



Noot voor de uitgever, niet voor publicatie

Log in om deze informatie te zien: Inloggen

Distributiekanalen: Cybersecurity
  • Infoblox
  • Log in om deze informatie te zien
Amaxwire, de slimme manier om online op te vallen