Угрозы в киберпространстве продолжают эволюционировать, приобретая все более сложные и многофункциональные формы. Недавно обнаруженный вредоносный фреймворк DupeDog, названный по характерным строкам в коде, представляет собой яркий пример современной инженерной мысли злоумышленников. Разработанный преимущественно на языке Go, он сочетает в себе возможности удаленного администрирования и шифровальщика, что делает его особенно опасным инструментом в руках киберпреступников.
Описание
Обнаружение DupeDog произошло в ходе регулярного мониторинга активности в рамках практических учений по кибербезопасности. Специалисты группы анализа угроз Tencent Cloud обратили внимание на серию вредоносных программ, распространявшихся через фишинговые рассылки. Файлы маскировались под документы с резюме или видео с ошибками воспроизведения, что повышало вероятность их запуска жертвами. Последующий анализ показал, что все образцы принадлежат к одному программному семейству, которое и получило название DupeDog.
Одной из ключевых особенностей DupeDog является высокая степень инженерной проработки, направленная на противодействие современным системам защиты. Для уклонения от статического анализа использует динамическое обфускацию имен пакетов. Конфигурация управления передается через встроенные YAML-файлы, а коммуникация с сервером управления осуществляется по зашифрованным HTTP-каналам. По умолчанию применяется алгоритм AES-128-CBC с фиксированным вектором инициализации для шифрования задач и результатов. Чтобы снизить вероятность обнаружения сетевого трафика, DupeDog маскирует Referer, использует Cookie с временными метками и добавляет большие объемы случайных данных в передаваемые пакеты.
На стороне жертвы фреймворк демонстрирует широкий спектр возможностей: выполнение системных команд, просмотр и управление файлами, их загрузку и выгрузку, создание скриншотов экрана, динамическое управление периодами бездействия и функцию шифрования данных с изменением расширения на «.bitlock». Архитектура任务调度построена на канальной驱动овой модели, что облегчает расширение функциональности и горизонтальное перемещение в сети.
Процесс выполнения начинается с инициализации консоли через main.main, после чего управление передается в pkg/task.WindowsHandle. Задачи, поступающие от сервера,解析руются в структуру TaskInfo и помещаются в очередь через runtime_chansend1. Диспетчер задач создает отдельные goroutine для обработки в зависимости от типа задачи, вызывая соответствующие обработчики (func1 до func9). Например, func1 отвечает за выполнение shell-команд, func3 - за управление файлами, func8 - за создание скриншотов, а func9 активирует функцию шифрования.
Конфигурация образцов управляется через библиотеку Viper, которая загружает сжатые gzip-ресурсы из встроенного assets/application.yml. Эти данные затем используются для инициализации сетевых параметров, настроек шифрования и системы задач. Сетевое взаимодействие осуществляется через pkg/http.SendPost, где HTTP-запросы оформляются с поддельными заголовками: Content-Type как application/json, Referer как https://www.baidu.com, а Cookie со значением, генерируемым utils.DupeDog на основе MD5 от текущего времени и шумовой строки. Тело запроса представляет собой JSON, зашифрованный AES-CBC и закодированный в Base64.
В аспекте безопасности DupeDog имеет несколько уязвимых мест. Ключ шифрования извлекается из конфигурации и может быть получен путем анализа gzip-блоков в образце, что позволяет расшифровать трафик и зашифрованные файлы. Также框架отключает проверку TLS-сертификатов (InsecureSkipVerify = 1), что упрощает обнаружение аномалий на сетевом уровне. Генерация Cookie на основе времени снижает стойкость к анализу.
Для защитных мер рекомендуется мониторить вызовы SystemParametersInfoW для смены обоев и операции в каталоге C:\Users\Public\Pictures\, где временно хранятся скриншоты. Сетевые системы должны анализировать HTTP-трафик с подозрительными Referer и Cookie, а также с высокоэнтропийными данными в теле POST-запросов. При обнаружении активности DupeDog необходимо изолировать зараженные системы, сохранить дампы памяти и скопировать содержимое Public\Pictures для последующего анализа.
Таким образом, DupeDog представляет собой серьезную угрозу, сочетающую скрытность, многофункциональность и инженерную сложность. Его появление подчеркивает необходимость усиления мониторинга как на конечных точках, так и в сетевой инфраструктуре, а также важность оперативного реагирования на инциденты для минимизации потенциального ущерба.
Индикаторы компрометации
MD5
- 0879a94934af3593e75b4640667c4dfd
- 1773d8bbc458f13595848631c53c13cd
- 1c41fa1ebc29616327baaf27f9efd6b5
- 4b2390d0b80000f142adbdcb0e5edb98
- 72d29826b8c12116c35f88f45fd6f332
- 7e5fabcf5db549a6bf9c1bf3ef711a94
- ab53324694db1355e1aac4083f548351
- abdcb905ebc73bd01fa2a6990fcb63dc
- cb5e6d082924158a2dc1b30269aa4419
- e974f8c70e61146e17640751a2a88e61
- e99982c449f48ffad6eeaee4e0dfbec5
- eb418569ba1de196e8bf38511fa1289e
