- Infoblox waarschuwt voor nieuwe malware-toolkit ‘Decoy Dog’
- Via Russische IP worden wereldwijd gerichte DNS-aanvallen gedaan op bedrijfsnetwerken
- Aanvallen zijn lastig te spotten en vereisen daarom extra aandacht
- Malware al sinds april 2022 actief
Amsterdam,
24 april 2023 – De Threat Intelligence Group van
Infoblox waarschuwt voor een nieuwe dreiging: ‘Decoy Dog’. Dit is een malware-toolkit die communiceert met een Russisch IP-adres en organisaties over de hele wereld onopgemerkt aanvalt. Deze malware, die opereert op DNS-niveau, is heel lastig te spotten. Bovendien passen de activiteiten in het profiel van een Advanced Persistent Threat (APT)-actor met staatssteun.
Begin april 2023 ontdekte en valideerde Infoblox een eerder onbekende remote access trojan (RAT), malware die actief was binnen meerdere bedrijfsnetwerken. Het werd snel duidelijk dat dit om gerichte aanvallen ging. Nu bevestigen de onderzoekers dat al deze aanvallen zijn te herleiden naar de Decoy Dog-toolkit.
Aanvallen verlopen via zogenoemde Command-and-Control (C2) servers, die via malware netwerkcommunicatie kunnen kapen om zo controle uit te oefenen op geïnfecteerde netwerken en apparaten. In het geval van deze RAT – de open source-rat ‘Pupy’ – wordt het DNS-protocol gebruikt om controle te krijgen over besmette apparaten. In de oceaan van DNS-verkeer valt de beperkte data-uitwisseling tussen de C2-server en besmette apparaten niet snel op. Hierdoor zijn deze aanvallen erg moeilijk te detecteren als ze niet in de context van een wereldwijd dreigingsinformatiesysteem worden geanalyseerd.
De Infoblox Threat Intelligence-onderzoekers werken samen met andere organisaties om deze nieuwe dreiging in kaart te brengen én de identiteit en beweegredenen van de aanvallers te achterhalen. Er is actieve C2-communicatie gedetecteerd in de VS, Europa, Zuid-Amerika en Azië in uiteenlopende sectoren, van de gezondheidszorg tot de energiesector en financiële dienstverlening.
Infoblox geeft het dringende advies aan organisaties om de volgende domeinen onmiddellijk te blokkeren en verdere risico’s te onderzoeken:
- claudfront[.]net
- allowlisted[.]
- atlas-upd[.]com
- ads-tm-glb[.]click
- cbox4[.]ignorelist[.]com
- hsdps[.]cc
Lees hier het volledige rapport over Decoy Dog.
Over Infoblox
Infoblox combineert ongeëvenaarde netwerkprestaties en -security in een altijd veranderende wereld. Infoblox gebruikt intelligente DNS- en gebruikerscontext om dreigingen te stoppen die andere oplossingen over het hoofd zien. Daarvoor bieden we realtime inzicht en controle over wie en wat met je netwerk verbindt, zodat je veiligere en weerbaardere omgevingen kunt opzetten. We ondersteunen ruim 13.000 klanten – waaronder 92 van de Fortune 100-bedrijven én innovatieve nieuwkomers – om hun intelligente en diverse teams te versterken en te ondersteunen met intelligente networking- en security-oplossingen voor onze steeds decentralere wereld. Ga naar
infoblox.com voor meer informatie of volg ons op
LinkedIn en
Twitter.
Voor meer persinformatie:
Clarity
Maxime Raven
Tel: +31 (0)23 555 34 24
E-mail:
[email protected]