Decoy Dog Toolkit IOCs

security IOC
Опубликовано

В начале апреля компания Infoblox обнаружила домены, представленные, которые действовали как маяки командования и управления (C2) для неопределенной на тот момент вредоносной программы.

Decoy Dog

Pupy RAT — это модульный набор инструментов для постэксплуатации с открытым исходным кодом.

Decoy Dog в значительной степени зависит от Pupy, но это не просто причудливое название для стандартного развертывания RAT. Decoy Dog - это целостный набор инструментов с рядом весьма необычных характеристик, которые делают его уникальным, особенно при изучении его доменов на уровне DNS. Характеристики набора инструментов Decoy Dog включают:

  • Pupy RAT: Pupy - основной компонент вредоносной программы из набора инструментов Decoy Dog. Хотя эта вредоносная программа имеет открытый исходный код, ее развертывание в качестве DNS C2 не является тривиальным, а широкий спектр ее возможностей привел к тому, что ее используют субъекты угроз национальных государств, такие как Earth Berberoka.6
  • Уникальная сигнатура DNS: Decoy Dog демонстрирует уникальную сигнатуру DNS, которая совпадает менее чем с 0,0000027% из 370 миллионов активных доменов в Интернете. Эта сигнатура не характерна для стандартных установок Pupy, что убедительно свидетельствует о том, что домены развернуты одним и тем же инструментарием, если не одним и тем же субъектом угрозы.
  • DNS Beaconing / Outlier Behavior: Домены Decoy Dog демонстрируют периодические, но нечастые DNS-запросы, что затрудняет их обнаружение без превентивного DNS-решения. Это не является неотъемлемым качеством Pupy, поэтому тот факт, что все домены демонстрируют такое поведение, указывает на то, что они были настроены одним и тем же источником. Алгоритмы обнаружения выбросов компании Infoblox поместили домены Decoy Dog в верхнюю часть нашего списка подозрительной активности из-за их необычного поведения.
  • Общий хостинг / регистрационные сходства: Домены Decoy Dog можно сгруппировать вместе на основе их общих регистраторов, серверов имен, IP-адресов и провайдеров динамических DNS. Учитывая другие общие черты доменов Decoy Dog, это свидетельствует либо о постепенном совершенствовании тактики одним субъектом угрозы, либо о развертывании несколькими субъектами угрозы одного и того же набора инструментов на разных инфраструктурах.
  • Ориентация на предприятия: Домены Decoy Dog были замечены только в корпоративных сетях, и нет никаких свидетельств того, что домены активны на потребительских устройствах.

Indicators of Compromise

IPv4

  • 213.183.48.75
  • 5.199.173.4
  • 5.252.176.22
  • 5.252.176.63
  • 83.166.240.52

Domains

  • ads-tm-glb.click
  • allowlisted.net
  • atlas-upd.com
  • cbox4.ignorelist.com
  • claudfront.ml
  • claudfront.net
  • hsdps.cc
  • ns1.allowlisted.net
  • ns1.atlas-upd.com
  • ns1.claudfront.ml
  • ns1.claudfront.net
  • ns2.allowlisted.net
  • ns2.atlas-upd.com
  • ns2.claudfront.ml
  • ns2.claudfront.net

SHA256

  • 0375f4b3fe011b35e6575133539441009d015ebecbee78b578c3ed04e0f22568
  • 4996180b2fa1045aab5d36f46983e91dadeebfd4f765d69fa50eba4edf310acf
  • 84a2ed4270aaee360019f8136e464fbddb83d20ade79b43b712c711a632dfa14
  • e47db5ef2a23a156856b5ea3b156a32fc8b26fb1a5c496f62e74c8ca8bf4b924
  • fa075deeb0af84792a08f6be728ea15f1cf6183443cc5ee8a0632c7b4209675f

Нет связанных сообщений

Decoy Dog Infoblox Toolkit
Добавить комментарий