Organizações russas estão sofrendo ataques cibernéticos que foram identificados como a entrega de uma versão do Windows de um malware chamado Decoy Dog.
A empresa de segurança cibernética Positive Technologies está rastreando o grupo de atividades sob o nome de Operação Lahat, atribuindo-o a um grupo de ameaças persistentes avançadas (APT) chamado HellHounds.
“O grupo HellHounds compromete organizações selecionadas e obtém um ponto de apoio em suas redes, permanecendo indetectável por anos,” disseram os pesquisadores de segurança Aleksandr Grigorian e Stanislav Pyzhov. “Ao fazer isso, o grupo utiliza vetores de comprometimento primários, desde serviços web vulneráveis até relacionamentos de confiança.”
O HellHounds foi documentado pela primeira vez pela empresa em novembro de 2023, após o comprometimento de uma empresa de energia não identificada com o troiano Decoy Dog. Está confirmado que infiltrou 48 vítimas na Rússia até o momento, incluindo empresas de TI, governos, empresas da indústria espacial e provedores de telecomunicações.
Há evidências que indicam que o ator da ameaça tem como alvo empresas russas desde pelo menos 2021, com o desenvolvimento do malware em andamento desde novembro de 2019.
Detalhes sobre o Decoy Dog, uma variante personalizada do Pupy RAT de código aberto, surgiram em abril de 2023, quando a Infoblox descobriu o uso do malware de túneis DNS para comunicações com seu servidor de comando e controle (C2) para controlar remotamente os hosts infectados.
Uma característica notável do malware é sua capacidade de mover vítimas de um controlador para outro, permitindo que os atores da ameaça mantenham a comunicação com máquinas comprometidas e permaneçam escondidos por períodos prolongados.
Ataques envolvendo o kit de ferramentas sofisticado têm sido principalmente confinados à Rússia e Europa Oriental, não mencionando que excluem exclusivamente sistemas Linux, embora a Infoblox tenha insinuado a possibilidade de uma versão para Windows.
“As referências ao Windows no código sugerem a existência de um cliente do Windows atualizado que inclui as novas capacidades do Decoy Dog, embora todas as amostras atuais estejam direcionando o Linux,” observou a Infoblox em julho de 2023.
As últimas descobertas da Positive Technologies confirmam quase a presença de uma versão idêntica do Decoy Dog para Windows, que é entregue para hosts críticos por meio de um carregador que emprega uma infraestrutura dedicada para obter a chave para descriptografar a carga.
Análises adicionais descobriram o uso pelo HellHounds de uma versão modificada de outro programa de código aberto conhecido como 3snake para obter credenciais em hosts executando Linux.
A Positive Technologies afirmou que, em pelo menos dois incidentes, o invasor conseguiu obter acesso inicial à infraestrutura das vítimas por meio de um contratado que usava credenciais comprometidas de login Secure Shell (SSH).
“Os atacantes há muito conseguem manter sua presença dentro de organizações críticas localizadas na Rússia,” afirmaram os pesquisadores. “Embora virtualmente todo o kit de ferramentas HellHounds seja baseado em projetos de código aberto, os atacantes fizeram um trabalho bastante bom de modificação para burlar defesas contra malware e garantir uma presença encoberta prolongada dentro de organizações comprometidas.”
Atualização:
A Dra. Renée Burton, vice-presidente de inteligência de ameaças da Infoblox, disse ao The Hacker News que identificaram um ator de ameaças chamado Secshow, “que direciona diretamente amplificações de consultas que mostram que o Decoy Dog é amplificado pelo produto Palo Alto Cortex Xpanse,” e que estão “avaliando os relatórios relevantes que chegam da Rússia comparando os indicadores que atribuem ao ator de ameaças com os indicadores de nossos dados.”
(A história foi atualizada após a publicação para incluir uma resposta da Infoblox.)
