کمیته رکن چهارم – کارشناسان اینفوبلاکس با بررسی بیش از ۷۰ میلیارد گزارش DNS از وجود بدافزار پیچیده جدیدی با نام Decoy Dog آگاه شدهاند که شبکههای سازمانی را هدف قرار میدهد.
دکوی داگ، همانطور که از نامش پیداست، گریزان است و از تکنیکهایی مانند قدمت دامنه استراتژیک و دریبل پرسوجوی دیاناس استفاده میکند که در آن یکسری پرسوجو به دامنههای فرمان و کنترل (C2) منتقل میشود تا هیچ شکی ایجاد نکند.
دکوی داگ یک جعبه ابزار منسجم با تعدادی ویژگی بسیار غیرعادی است که آن را بهویژه هنگام بررسی دامنههای آن در سطح دیاناس قابل شناسایی میکند.
تحقیقات بیشتر در مورد دکوی داگ نشان میدهد که این عملیات حداقل یک سال قبل از کشف آن راهاندازی شده و با سه پیکربندی زیرساختی متمایز تا به امروز شناسایی شده است. یکی دیگر از جنبههای مهم، رفتار غیرمعمول مرتبط با دامنههای دکوی داگ است، به طوری که آنها به الگوی درخواستهای دورهای، اما نادر، دی ان اس برای مخفی ماندن پایبند هستند.
دامنههای دکوی داگ را میتوان بر اساس ثبتکنندههای مشترک، سرورهای نام، آیپی و ارائهدهندگان دیاناس پویا با هم گروهبندی کرد.
با توجه به اشتراکات دیگر بین دامنههای دکوی داگ، این نشاندهنده این است که یا یک عامل تهدید به تدریج تاکتیکهای خود را تغییر میدهد یا چندین عامل تهدید یک جعبه ابزار را در زیرساختهای مختلف مستقر میکنند.
این شرکت امنیت سایبری که این بدافزار را در اوایل آوریل ۲۰۲۳ و به دنبال فعالیت غیرعادی نشاندهنده دیاناس شناسایی کرده بود، میگوید که ویژگیهای غیر معمول به آن اجازه خواهد داد تا دامنههای اضافی را که بخشی از زیرساخت حمله هستند، نقشهبرداری کند. استفاده از دکوی داگ بسیار نادر است.
منبع : افتانا
