マルウェアツールキットDecoy Dogが発見される　DNSクエリ700億件の解析後

Yoshida

2023.04.24

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月24日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

マルウェアツールキットDecoy Dogが発見される　DNSクエリ700億件の解析後

Bleeping Computer – Apr 23 2023 14:25

通常のインターネットアクティビティとは異なる異常なDNSトラフィックを検査した結果、エンタープライズを狙う新たなマルウェアツールキット「Decoy Dog」が発見された。この発見により、広大なインターネットの中から異常な活動を検出するために大規模なデータ分析を使用することの有効性が示されている。

Infobloxの研究者は異常または不審なアクティビティの兆候がないかを探るため毎日700億件超のDNSレコードを分析しているが、その活動の中で、2023年4月に同ツールキットを発見。

Decoy Dogは、戦略的なドメインエイジングとDNSクエリの小刻みな送信によって、脅威アクターが標準的な検出メソッドを回避するのを助けるツール。発見されたのは今年4月だが、調査によりDecoy Dogの活動は2022年4月初旬から行われていたことが判明している。このことからも、Decoy Dogのドメインは極端な異常値を示すものであったにもかかわらず、1年以上検出されずに動くことが可能だったというステルス性の高さが示されている。

Decoy Dogによって展開されるリモートアクセス型トロイの木馬Pupy RATは、国家支援型アクターの間で人気なオープンソースのモジュラー型ポストエクスプロイトツールキット。Pupy RATは主要なOSすべて（Windows、macOS、Linux、Android）におけるペイロードに対応しており、脅威アクターによるリモートでのコマンド実行、特権昇格、認証情報窃取、ネットワーク内での横方向の拡散を可能にするという。

Infobloxはまた、Decoy Dogの調査によって同一のオペレーションに関連するC2ドメインも複数発見した。これらのサーバーからの通信の大半はロシア国内のホストから発せられていたという。

なお、Infobloxは同社の公開GitHubリポジトリ内でIoCも共有している。

2023年4月24日

ハイライト

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。