Тулкит Decoy Dog помогает злоумышленникам обходить репутационные фильтры

Татьяна Никитина 24 Апреля 2023 - 18:22

...

Тулкит Decoy Dog помогает злоумышленникам обходить репутационные фильтры

В ходе очередной проверки DNS-трафика на наличие подозрительных аномалий специалисты Infoblox обнаружили тулкит для развертывания инструмента удаленного администрирования Pupy. Как оказалось, вредонос, условно нареченный Decoy Dog, существует в интернете уже год, умело скрывая свои C2-домены.

Операторы зловреда берегут центры управления, искусственно состаривая домены (регистрация и отложенное использование), а также клонируя DNS-запросы. Для обмена с C2 выстраиваются DNS-туннели, при этом используются кастомные серверы, расположенные в России, либо бесплатные услуги DDNS.

Цифровой отпечаток (DNS-фингерпринт) Decoy Dog уникален, что упрощает идентификацию и отслеживание. Найдя один C2-домен зловреда, исследователи с легкостью обнаружили еще несколько. Примечательно также использование пинг-поддоменов; эти маячки, установленные во взломанных сетях, работают с разным интервалом генерации DNS-запросов.

Кросс-платформенный инструмент постэксплуатации Pupy — это проект с открытым исходным кодом, доступный на GitHub. Злоумышленники ценят его за скрытность (бесфайловый способ загрузки) и возможность шифрованных C2-коммуникаций.

В данном случае Pupy развертывается как DNS C2; подобная задача нетривиальна и требует определенных знаний и опыта. Выявленные индикаторы компрометации Decoy Dog приведены и в бюллетене Infoblox, и в репозитории ИБ-компании на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Октября 2025 - 14:33

Корпорации

РОСА Мессенджер расширил поддержку ОС и получил видео-конференц-связь

Разработчики продуктов российской компании «Роса» (АО «НТЦ ИТ РОСА») усовершенствовали одноименный мессенджер, и в ближайшее время им можно будет пользоваться на любой платформе через веб-интерфейс.

Изначально РОСА Мессенджер был совместим лишь с РОСА Мобайл и РОСА «ХРОМ» (обе на базе Linux) и доступен только со смартфонов Р-ФОН или с планшетов Р-ТАБ производства «Рутек».

В рамках обновления мессенджера разработчики изменили дизайн, расширили список поддерживаемых ОС, добавили возможность видео-конференц-связи за счет интеграции с коммуникационной платформой OMMG 3.0.

Все элементы решения — российской разработки, подчеркнул член совета директоров АО «НТЦ ИТ РОСА» и АО «Рутек» Сергей Кравцов, беседуя с журналистами.

Расширение доступности и функциональности «Роса», защищенного шифрованием и средствами идентификации пользователей, повышает его конкурентоспособность на российском рынке мессенджеров.

Недавний опрос, проведенный по итогам профильного эфира AM Live, показал: большинство экспертов по ИТ и ИБ считает, что отечественные мессенджеры для бизнеса смогут стать полноценной заменой зарубежным решениям.