Ρωσικές εταιρείες και κυβερνητικές υπηρεσίες βρίσκονται στο στόχαστρο επιθέσεων που διανέμουν μια Windows έκδοση του Decoy Dog malware.
Η εταιρεία κυβερνοασφάλειας Positive Technologies παρακολουθεί την κακόβουλη δραστηριότητα με το όνομα Operation Lahat, αποδίδοντάς τη σε μια ομάδα APT που ονομάζεται HellHounds.
Σύμφωνα με τους ερευνητές, η ομάδα Hellhounds αποκτά πρόσβαση στα δίκτυα των στόχων και μπορεί να παραμείνει εκεί για χρόνια, απαρατήρητη.
Η ομάδα HellHounds τεκμηριώθηκε για πρώτη φορά από την εταιρεία στα τέλη Νοεμβρίου 2023, μετά την παραβίαση μιας ανώνυμης εταιρείας ενέργειας με το trojan Decoy Dog. Έχει επιβεβαιωθεί ότι έχει παραβιάσει 48 θύματα στη Ρωσία μέχρι σήμερα, συμπεριλαμβανομένων εταιρειών πληροφορικής, κυβερνητικών υπηρεσιών, εταιρειών στη διαστημική βιομηχανία και παρόχων τηλεπικοινωνιών.
Δείτε επίσης: Το DarkGate Malware αντικαθιστά το AutoIt με το AutoHotkey
Πιστεύεται ότι οι hackers στοχεύουν ρωσικές εταιρείες τουλάχιστον από το 2021, με την ανάπτυξη του malware να βρίσκεται σε εξέλιξη ήδη από τον Νοέμβριο του 2019.
Το Decoy Dog malware θεωρείται μια custom παραλλαγή του Pupy RAT. Εντοπίστηκε τον Απρίλιο του 2023, όταν η Infoblox αποκάλυψε τη χρήση DNS tunneling για επικοινωνίες με τον command-and-control (C2) server για τον απομακρυσμένο έλεγχο μολυσμένων κεντρικών υπολογιστών.
Ένα βασικό χαρακτηριστικό του Decoy Dog malware είναι η ικανότητά του να μετακινεί τα θύματα από τον έναν controller σε έναν άλλο, κάτι που επιτρέπει τη διατήρηση της επικοινωνίας με τα παραβιασμένα μηχανήματα και την παραμονή στα συστήματα για μεγάλες χρονικές περιόδους.
Οι επιθέσεις με το Decoy Dog malware έχουν περιοριστεί κυρίως στη Ρωσία και την Ανατολική Ευρώπη. Αρχικά, στόχευε αποκλειστικά τα συστήματα Linux, αλλά τώρα φαίνεται ότι υπάρχει και μια έκδοση Windows.
Δείτε επίσης: Οι αρχές αναζητούν στοιχεία για τον “εγκέφαλο” του Emotet malware
“Στον κώδικα υπάρχουν αναφορές για Windows, που υποδηλώνουν την ύπαρξη ενός ενημερωμένου Windows client με νέες δυνατότητες Decoy Dog, αν και όλα τα τρέχοντα δείγματα στοχεύουν το Linux“, σημείωσε η Infoblox τον Ιούλιο του 2023.
Τα τελευταία ευρήματα από την Positive Technologies επιβεβαιώνουν την παρουσία μιας έκδοσης του Decoy Dog για Windows.
Η Positive Technologies είπε ότι σε τουλάχιστον δύο περιστατικά, οι hackers κατάφεραν να αποκτήσουν αρχική πρόσβαση στην υποδομή των θυμάτων.
“Οι επιτιθέμενοι κατάφεραν εδώ και καιρό να διατηρήσουν την παρουσία τους μέσα σε κρίσιμους οργανισμούς που βρίσκονται στη Ρωσία“, δήλωσαν οι ερευνητές. “Παρόλο που σχεδόν όλο το toolkit της Hellhounds βασίζεται σε open-source projects, οι εισβολείς έχουν κάνει αρκετά καλή δουλειά τροποποιώντας το για να παρακάμψουν τις άμυνες κακόβουλου λογισμικού και να εξασφαλίσουν παρατεταμένη κρυφή παρουσία σε παραβιασμένους οργανισμούς“.
Προστασία από malware
Η χρήση αξιόπιστου και ενημερωμένου λογισμικού antivirus είναι απαραίτητη για την προστασία από malware. Τα antivirus προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό, καθώς και να παρέχουν συνεχή προστασία σε πραγματικό χρόνο.
Η τακτική ενημέρωση του λειτουργικού συστήματος και του λογισμικού είναι, επίσης, κρίσιμη. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που κλείνουν τα κενά που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.
Δείτε επίσης: Το Dora RAT Malware στοχεύει ινστιτούτα της Νότιας Κορέας
Ακολουθεί η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό. Οι κωδικοί πρόσβασης πρέπει να περιλαμβάνουν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων για να είναι πιο δύσκολο να σπάσουν.
Η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα και αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, θα χρειαστεί και τον δεύτερο παράγοντα για να αποκτήσει πρόσβαση.
Πολύ σημαντική είναι και η αποφυγή κλικ σε ύποπτους συνδέσμους και συνημμένα αρχεία σε email και μηνύματα. Οι επιτιθέμενοι συχνά χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες και να εγκαταστήσουν malware στους υπολογιστές τους.
Πηγή: thehackernews.com
