Тулкит Decoy Dog помогает злоумышленникам обходить репутационные фильтры

Тулкит Decoy Dog помогает злоумышленникам обходить репутационные фильтры

Тулкит Decoy Dog помогает злоумышленникам обходить репутационные фильтры

В ходе очередной проверки DNS-трафика на наличие подозрительных аномалий специалисты Infoblox обнаружили тулкит для развертывания инструмента удаленного администрирования Pupy. Как оказалось, вредонос, условно нареченный Decoy Dog, существует в интернете уже год, умело скрывая свои C2-домены.

Операторы зловреда берегут центры управления, искусственно состаривая домены (регистрация и отложенное использование), а также клонируя DNS-запросы. Для обмена с C2 выстраиваются DNS-туннели, при этом используются кастомные серверы, расположенные в России, либо бесплатные услуги DDNS.

Цифровой отпечаток (DNS-фингерпринт) Decoy Dog уникален, что упрощает идентификацию и отслеживание. Найдя один C2-домен зловреда, исследователи с легкостью обнаружили еще несколько. Примечательно также использование пинг-поддоменов; эти маячки, установленные во взломанных сетях, работают с разным интервалом генерации DNS-запросов.

Кросс-платформенный инструмент постэксплуатации Pupy — это проект с открытым исходным кодом, доступный на GitHub. Злоумышленники ценят его за скрытность (бесфайловый способ загрузки) и возможность шифрованных C2-коммуникаций.

В данном случае Pupy развертывается как DNS C2; подобная задача нетривиальна и требует определенных знаний и опыта. Выявленные индикаторы компрометации Decoy Dog приведены и в бюллетене Infoblox, и в репозитории ИБ-компании на GitHub.

Спецоперация с посылкой: мошенники начали превращать жертв в курьеров

МВД России предупредило о новой мошеннической схеме, в которой человека могут не просто развести на деньги, но и втянуть в преступление. Аферисты представляются сотрудниками Центробанка, спецслужб, правоохранительных органов или финансовых организаций и просят «помочь» с якобы важной операцией: забрать посылку, перевезти деньги или задекларировать чужие средства.

В Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД предупреждают: если специалист Центрального банка просит забрать посылку и задекларировать чужие деньги — это мошенники.

И самое неприятное: человек, который согласится, рискует стать не помощником, а соучастником преступления. Схема строится на старой, но всё ещё рабочей легенде: жертве внушают, что она участвует в тайной проверке, расследовании или спецмероприятии.

Для убедительности аферисты прикрываются громкими названиями ведомств и должностей, давят срочностью и требуют никому ничего не рассказывать. В итоге владелец смартфона превращается в курьера, который своими руками помогает преступникам.

В МВД подчёркивают: государственные организации не нанимают случайных граждан для внештатной работы по телефону и не просят участвовать в секретных операциях. Центробанк, полиция и спецслужбы не отправляют людей за чужими деньгами, не поручают перевозить посылки и не просят декларировать средства неизвестного происхождения.

Так что если на том конце провода внезапно появился сотрудник ЦБ с просьбой помочь стране, банку или следствию, лучший вклад в безопасность уже понятен: положить трубку и не играть в курьера для мошенников.

RSS: Новости на портале Anti-Malware.ru