Suite à la divulgation de la boîte à outils d’Infoblox, les hackers ont réagi rapidement en adaptant leurs systèmes pour assurer la continuité de leurs opérations. Cela souligne que le maintien de l’accès aux appareils des victimes reste leur priorité absolue. L’analyse révèle également que l’utilisation du logiciel malveillant s’est propagée, et qu’au moins trois groupes différents l’exploitent désormais. Malgré son fondement dans le RAT open-source Pupy, Decoy Dog est une nouvelle forme de logiciel malveillant, totalement inconnue jusqu’alors et dont les nombreuses caractéristiques lui permettent de persister sur un appareil compromis. Bien que de nombreux aspects de Decoy Dog demeurent mystérieux, tout indique qu’il est l’œuvre de pirates d’État.
Infoblox réagit ainsi en publiant un nouvel ensemble de données, comprenant le trafic DNS capturé à partir de ses serveurs, afin d’aider l’industrie à poursuivre ses investigations sur les systèmes C2.

Une question qui hante silencieusement de nombreux acteurs du secteur est de savoir si l’on peut véritablement considérer un réseau comme sécurisé sans surveiller les DNS. Il existe un risque significatif que Decoy Dog et son utilisation continuent de se développer, entraînant des conséquences à l’échelle mondiale. Actuellement, la seule méthode connue pour détecter et se protéger contre Decoy Dog/Pupy consiste à utiliser des systèmes de détection et de réponse DNS, tels que BloxOne® Threat Defense d’Infoblox.
« Il doit sembler intuitif que le DNS se positionne comme la première ligne de défense pour les organisations, leur permettant de détecter et de neutraliser les menaces telles que Decoy Dog. Infoblox se positionne avec la solution de détection et de réponse DNS de premier choix du secteur, fournissant aux entreprises une défense complète que d’autres solutions XDR ne pourraient égaler » déclare Scott Harrell, président et directeur général d’Infoblox. « Comme l’illustre notre expérience avec Decoy Dog, notre étude approfondie et notre compréhension des tactiques et techniques utilisées par les hackers nous permettent de bloquer les menaces avant même qu’elles ne soient reconnues comme telles. »
Grâce à une analyse DNS à grande échelle, Infoblox a réussi à identifier les principales caractéristiques du malware et des acteurs qui l’exploitent. Suite à la première annonce d’Infoblox sur les réseaux sociaux, tous les acteurs liés à Decoy Dog ont réagi, et cédé de différentes manières. Certains des serveurs de noms de domaine mentionnés dans le rapport d’Infoblox d’avril 2023 ont été désactivés, tandis que d’autres connexions de leurs victimes ont été redirigées vers de nouveaux serveurs. Malgré leurs tentatives de dissimulation, Infoblox a continué de surveiller ces activités, ce qui nous a permis d’en apprendre davantage.

Infoblox a réussi à déduire la nature de certaines communications et estime que le nombre d’appareils compromis est relativement faible. De plus, ils ont pu distinguer Decoy Dog de Pupy et ont constaté que Decoy Dog possède un ensemble complet de capacités jusqu’alors inconnues. Cela inclut la faculté de déplacer les victimes vers un autre contrôleur, leur permettant ainsi de maintenir la communication avec les machines compromises tout en restant cachées pendant de longues périodes. En effet, certaines victimes ont maintenu des communications actives avec un serveur Decoy Dog pendant plus d’un an.

« Decoy Dog représente une menace permanente et sérieuse en raison du manque d’informations concernant les systèmes sous-jacents et les vulnérabilités exploitées », a déclaré Dr. Renée Burton, Responsable de Threat Intelligence chez Infoblox. « Pour contrer efficacement ce logiciel malveillant, le DNS s’avère être la meilleure défense. Souvent négligé en tant que composant essentiel de l’écosystème de sécurité, le DNS permet aux activités malveillantes de passer inaperçues. Les entreprises dotées d’une solide stratégie de protection DNS sont les seules à même de se prémunir contre ce type de menaces. »

Infoblox surveille actuellement 20 domaines Decoy Dog, dont certains ont été enregistrés et déployés au cours du mois dernier. Elle exploite alors une faiblesse inhérente à l’écosystème de renseignement centré sur les logiciels malveillants, qui prédomine dans l’industrie actuelle de la sécurité. De plus, ce logiciel malveillant n’a été identifié que grâce aux algorithmes de détection des menaces DNS. La meilleure défense des organisations contre ces attaques est la protection au niveau du trafic DNS, dans chaque réseau. Les clients de BloxOne® Threat Defense d’Infoblox restent protégés contre Decoy Dog et ces acteurs connus de menaces malveillantes.
« Nous demandons à l’industrie de faire avancer les recherches, d’approfondir et de partager ses conclusions », a ajouté M. Harrell.

Expérience pratique et réelle de Pupy à BlackHat : Lors de la conférence Black Hat sur la cybersécurité qui se tiendra à Las Vegas le mercredi 9 août de 13 h 15 à 13 h 35 (heure de Paris), Dr. Renée Burton présentera en détail pourquoi « Decoy Dog is No Ordinary Pupy », ainsi que d’autres résultats clés. Les participants auront l’occasion de rencontrer les chercheurs d’Infoblox tout au long de la conférence et pourront mettre à l’épreuve leurs compétences en relevant une série de défis pratiques impliquant un contrôleur Pupy en direct, dans le cadre de l’expérience Double Dog Dare d’Infoblox. De courtes présentations supplémentaires sur Decoy Dog et Pupy auront également lieu sur le stand les deux jours de la conférence. Cette expérience unique permettra aux participants d’observer directement comment le DNS est utilisé pour relayer les communications entre le client et le serveur, ce qui leur permettra de mieux comprendre la menace sérieuse que représente ce logiciel malveillant.

Le DNS possède un potentiel caché en matière de sécurité : Decoy Dog et Pupy exploitent le manque fréquent de surveillance du trafic DNS dans les réseaux. En réalité, plus de 90 %* de tous les malwares utilisent le DNS de diverses façons. Infoblox reconnaît l’importance cruciale pour les professionnels de la sécurité de comprendre comment les logiciels malveillants exploitent le DNS et comment la détection et la réponse DNS peuvent souvent contrer ces attaques. Des experts du domaine ont récemment publié un nouveau livre intitulé The Hidden Potential of DNS in Security. Ce livre fournit aux lecteurs toutes les connaissances nécessaires pour comprendre des sujets tels que les domaines similaires, les algorithmes générés par les domaines (DGA), le tunneling DNS, l’exfiltration de données par DNS, les motivations des hackers pour utiliser le DNS, ainsi que des stratégies de défense contre ces attaques. Une copie de ce livre est disponible sur Amazon.