DNS-малвари управляют кампаниями Strela Stealer и доставляют вредоносные программы через зараженные сайты

Detour Dog сыграла значительную роль в кампаниях по распространению Strela Stealer этим летом. Strela Stealer - это похититель информации, впервые обнаруженный в конце 2022 года. Его операторы, известные как Hive0145, нацелены на европейские страны, в первую очередь Германию, используя массовые рассылки электронной почты с вредоносными вложениями. В июне внешние исследователи сообщили, что инфраструктура, принадлежащая Detour Dog, размещала бэкдор-программу StarFish, используемую для установки похитителя информации. Домены были замечены во вредоносных вложениях электронной почты, нацеленных на Германию. Изучая собственную коллекцию спама, исследователи обнаружили, что веб-сайты, скомпрометированные Detour Dog, также, по-видимому, размещали первую стадию похитителя информации. Из подтвержденных хостингов для размещения StarFish не менее 69 процентов находились под контролем Detour Dog; реальный процент, вероятно, значительно выше.

К удивлению исследователей, в цепочку атаки была вовлечена еще одна система, отслеживаемая через DNS - ботнет MikroTik, рекламируемый как REM Proxy. Спам-рассылки, наблюдавшиеся в июне и июле, доставлялись как REM Proxy, так и другим ботнетом, Tofsee. Detour Dog размещала первую стадию атаки в кампаниях от обоих источников. Но Detour Dog делала больше, чем просто размещала бэкдор: она помогала распространять похититель через DNS TXT-записи. Управляемые злоумышленником серверы имен были модифицированы для интерпретации специально форматированных DNS-запросов от скомпрометированных сайтов и ответа командами удаленного выполнения кода.

Начиная с 8 июня, исследователи наблюдали ответы от серверов, которые предписывали зараженному сайту получать вывод PHP-скриптов с проверенных C2-серверов Strela Stealer. Из этой скрытой коммуникации следует вероятность существования системы распространения вредоносного ПО, где DNS действует и как командный канал, и как механизм доставки. Такая новая схема позволила бы атакующему скрыть свою личность за скомпрометированными веб-сайтами, сделав свои операции более устойчивыми, и одновременно ввести в заблуждение охотников за угрозами, поскольку вредоносное ПО на самом деле находится не там, где анализируемые вложения указывают на размещение стадии. Это первый известный случай, когда Detour Dog доставляет вредоносное ПО домашним пользователям.

Весной 2025 года вредоносное ПО для веб-сайтов принципиально усовершенствовалось. Злоумышленник добавил новую возможность командовать зараженным веб-сайтам выполнять код с удаленных серверов. Ответы на запросы TXT-записей кодируются в Base64 и явно включают слово "down" для запуска этого нового действия. Исследователи полагают, что это создало новую модель распространения вредоносного ПО с использованием DNS, в которой различные стадии извлекаются с разных хостов под контролем злоумышленника и передаются обратно, когда пользователь взаимодействует с приманкой кампании, например, с вложением электронной почты.

По мнению исследователей, эта методика ранее не описывалась. С ее помощью злоумышленник вводит в заблуждение защитников и скрывает истинное местоположение вредоносного ПО. При наличии большой сети зараженных хостов это можно считать версией распространения вредоносного ПО "в три карты". Большую часть времени, когда пользователь посещает один из сайтов, он видит исходный сайт. В некоторых случаях его перенаправляют на мошеннический ресурс через Help TDS. Но в редких случаях сайт получает команду на удаленное выполнение файла. Тот факт, что в большинстве случаев нет видимого компрометирования сайта и что вредоносные перенаправления трудно воспроизвести, позволяет Detour Dog сохраняться. Исследователи наблюдали сайты, зараженные более года. В сочетании с новой функцией удаленного выполнения способы доставки вредоносного контента становятся сложными.

Операции Detour Dog, по-видимому, выходят за рамки вредоносного ПО для веб-сайтов с DNS C2. Исследователи проследили историю Detour Dog до февраля 2020 года, задолго до обнаружения вредоносного ПО для веб-сайтов. Detour Dog вручную создает идентификаторы отслеживания, которые переносятся через несколько систем распределения трафика (TDS), что позволило связать seemingly независимую активность в течение длительных периодов времени.

Исследователи пытались нарушить работу Detour Dog через сообщения о злоупотреблениях. В августе 2025 года, после того как регистратор WebNIC отказался приостановить действие активного DNS C2-сервера webdmonitor[.]io, фонд Shadowserver перехватил управление доменом (sinkholed). Это позволило по-новому взглянуть на зараженные веб-сайты, а также на способность злоумышленника реагировать на срыв. Detour Dog потребовалось всего несколько часов, чтобы установить новый C2 и восстановить контроль над зараженными сайтами. Неделей позже Shadowserver перехватил второй домен и предоставил для анализа более 39 миллионов DNS TXT-запросов. Примерно 30 000 зараженных хостов в рамках 584 доменов верхнего уровня (TLD) были видны в 48-часовом окне. Запросы показывают значительный объем бот-трафика; на пике sinkhole получал 2 миллиона TXT-запросов в час, включая закодированные IP-адреса, которые не соответствовали естественному человеческому трафику.

DNS-запросы намекают, что Detour Dog все еще совершенствует возможности удаленного выполнения файлов. В настоящее время свидетельства указывают на то, что Detour Dog и Hive0145 являются разными субъектами. Основываясь на истории последних четырех лет, возможно, что Detour Dog предоставляет услуги другим, и в этом случае Hive0145 может быть лишь первым партнером, получившим поддержку в распространении вредоносного ПО через сеть зараженных хостов. Зараженные веб-сайты Detour Dog выполняют запросы к DNS C2, используя поддомен, который включает информацию о пользователе. Формат запроса немного менялся за последние годы, но сохраняет общую структуру.

Большую часть времени Detour Dog предписывает зараженному сайту отображать его исходное содержание, то есть "ничего не делать". Исследователи проанализировали более 4 миллионов TXT-записей с C2-сервера, записанных между 6 и 8 августа. Ответы распределялись следующим образом: подавляющее большинство (92%) были командами "ничего не делать", 4% - перенаправления на мошеннические сайты, 3% - команды на загрузку и выполнение, 1% - прочие ответы. Запросы к серверу включают очень высокий объем бот-трафика; однако исследователи не наблюдали последовательной закономерности, по которой сервер отвечает перенаправлением. Они подозревают, что злоумышленники ограничивают перенаправления, чтобы избежать обнаружения.

Когда StarFish выполняется, он начинает регулярную связь с C2-сервером вредоносного ПО, похищая данные с хоста, пока ему не скажут остановиться. По данным IBM, он делает это, подключаясь к жестко заданному C2-серверу с конечной точкой "server.php" и передавая уникальный идентификатор скомпрометированной машины. Сервер отвечает "OK" и необязательной командой. Detour Dog также включала C2 StarFish в TXT-ответы. В цепочках атак Strela Stealer, которые анализировали исследователи, "script" и "file" являются параметрами, наблюдаемыми в запросах, отправляемых на скомпрометированные сайты, изначально инициированных загрузчиком StarFish, на первой и второй стадиях соответственно.

Исследователи имеют теорию, основанную на этих данных. Последовательность событий может объяснить поведение: жертва открывает вредоносный документ, который запускает SVG-файл, обращающийся к зараженному домену с использованием параметра u=script. Зараженный сайт отправляет запрос TXT-записи на C2-сервер Detour Dog через DNS. Сервер имен отвечает TXT-записью, содержащей URL-адрес C2 Strela с префиксом "down". Зараженный сайт удаляет префикс "down" и использует curl для получения полезной нагрузки следующей стадии с C2-сервера Strela. Исследователи подозревают, что выводом этого запроса к script.php является загрузчик StarFish. Поскольку запрос curl происходит на стороне сервера, он не виден посетителю. Скомпрометированный сайт действует как ретранслятор для C2, передавая вывод с C2-сервера клиенту. Затем скрипт загрузчика инициирует еще один запрос к другому скомпрометированному домену, на этот раз используя параметр u=file, и процесс повторяется для получения конечной полезной нагрузки, которая представляет собой ZIP-архив, содержащий трояна wscript, предположительно StarFish.

Эта теория указывает на то, что атака умело использует DNS в качестве скрытого канала для организации многоэтапного процесса доставки. URL-адреса, встроенные в DNS TXT-записи, используются для получения поэтапных полезных нагрузок - сначала скрипта-загрузчика, затем ZIP-файла - все передается обратно жертве через скомпрометированную инфраструктуру. Пассивные DNS-журналы включают множество TXT-запросов со словом "test", встроенным в строку типа, что указывает на то, что злоумышленник продолжает развивать и совершенствовать систему. Охота на это вредоносное ПО для веб-сайтов с использованием DNS ведется уже более двух лет. Пуленепробиваемый хостинг и регистраторы в сочетании со скрытым характером активности Detour Dog позволяли инфекциям сохраняться на сайтах в течение очень долгих периодов времени.

Domains

• adflowtube.com
• advertipros.com
• aeroarrows.io
• airlogs.net
• betelgeuserigel.com
• cdn-routing.com
• deidrerealestate.com
• dns-routing.com
• domainzone123.com
• ecomicrolab.com
• flow-distributor.com
• infosystemsllc.com
• knowableuniverse.com
• lookup-domain.com
• msdnupdate.com
• msgdetox.com
• mssoftupdateserver.com
• nupdate0625.com
• updatemsdnserver.com
• updatemssoft.com
• webdmonitor.io
• web-hosts.io