0

  • Votre panier est vide.

  • LOGIN

Decoy Dog Malware Tool Kit repéré via des requêtes DNS malveillantes

Certains articles de veille peuvent faire l'objet de traduction automatique.

Un nouveau kit d’outils malveillants, « Decoy Dog », cible activement les réseaux d’entreprise depuis un an. Les chercheurs ont identifié Decoy Dog après avoir analysé des milliards de requêtes DNS.

Logiciel malveillant Decoy Dog ciblant activement les entreprises

Partager les détails dans un récent article de blogla société de cybersécurité Infoblox a dévoilé un nouveau kit d’outils malveillants, « Decoy Dog », exécutant des campagnes actives dans la nature.

Comme élaboré, les chercheurs sont devenus curieux à ce sujet après avoir détecté des milliards de requêtes DNS malveillantes. Ils ont scanné au moins 70 milliards de requêtes DNS pour trouver un modèle DNS similaire à partir de 0,0000027 % de tous les domaines actifs dans le monde. Ce qui les a alarmés à propos des requêtes DNS, c’était leur particularité : elles renvoyaient des adresses IP insolubles, ce qui est la quintessence du ministère américain de la Défense ou des campagnes de phishing malveillantes.

L’analyse approfondie de la question a permis aux chercheurs de détecter ces requêtes générées à partir des réseaux d’entreprise. Ensuite, les communications C2 sont reliées aux hôtes russes.

A terme, les chercheurs pourraient trouver PupyRAT à cette activité. Le kit d’outils malveillants Decoy Dog aurait déployé PupyRAT sur les réseaux d’entreprise cibles.

Alors que la plupart des domaines associés à cette campagne étaient liés au kit d’outils, certains domaines ne l’étaient pas, laissant entendre qu’ils pourraient être laissés pour le vieillissement du domaine.

Le chercheur a détecté pour la première fois Decoy Dog dans la nature en avril 2023. Cependant, l’analyse des domaines leur a fait déduire que la boîte à outils est devenue active en avril 2022.

On ne sait toujours pas si toutes les activités de Decoy Dog proviennent du même acteur menaçant. Alternativement, les créateurs pourraient avoir configuré Decoy Dog pour un usage commercial, permettant à de nombreux acteurs de la menace d’utiliser la boîte à outils pour différents logiciels malveillants.

En outre, les chercheurs ont découvert que Decoy Dog se concentrait généralement uniquement sur les réseaux d’entreprise, épargnant les appareils grand public. Néanmoins, leurs réseaux d’entreprise cibles peuvent inclure des petites et des grandes entreprises.

Pour atténuer de telles attaques, Infoblox conseille aux entreprises de déployer des listes de blocage sur leurs réseaux pour empêcher les requêtes DNS malveillantes. Ils ont également partagé les IOC du kit d’outils, que les organisations peuvent utiliser pour configurer les filtres.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

avril 26, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)