Russische organisaties staan aan de ontvangende kant van cyberaanvallen waarvan is vastgesteld dat ze een Windows-versie leveren van de malware genaamd Decoy Dog.
Cyberbeveiligingsbedrijf Positive Technologies volgt het activiteitencluster onder de naam Operation Lahat en schrijft het toe aan een geavanceerde persistente dreigingsgroep (APT), genaamd HellHounds.
“De Hellhounds-groep compromitteert organisaties die zij selecteren en krijgt voet aan de grond op hun netwerken, terwijl ze jarenlang onopgemerkt blijven”, aldus beveiligingsonderzoekers Aleksandr Grigorian en Stanislav Pyzhov. “Hierbij maakt de groep gebruik van primaire compromisvectoren, van kwetsbare webservices tot vertrouwde relaties.”
HellHounds werd eind november 2023 voor het eerst gedocumenteerd door het bedrijf na het compromis van een niet nader genoemd energiebedrijf met de Decoy Dog-trojan. Er is bevestigd dat er tot nu toe 48 slachtoffers in Rusland zijn getroffen, waaronder IT-bedrijven, overheden, bedrijven in de ruimtevaartindustrie en telecomaanbieders.
Er zijn aanwijzingen dat de bedreigingsactoren zich al sinds 2021 op Russische bedrijven richten, terwijl de ontwikkeling van de malware al in november 2019 aan de gang was.
Details over Decoy Dog, een aangepaste variant van de open-source Puppy RAT, kwamen naar voren in april 2023, toen Infoblox het gebruik van DNS-tunneling door de malware ontdekte voor communicatie met zijn command-and-control (C2)-server om geïnfecteerde hosts op afstand te controleren.
Een opvallend kenmerk van de malware is het vermogen om slachtoffers van de ene controller naar de andere te verplaatsen, waardoor de bedreigingsactoren de communicatie met gecompromitteerde machines kunnen onderhouden en gedurende langere tijd verborgen kunnen blijven.
Aanvallen met behulp van de geavanceerde toolkit zijn voornamelijk beperkt gebleven tot Rusland en Oost-Europa, om nog maar te zwijgen van de exclusieve Linux-systemen, hoewel Infoblox zinspeelde op de mogelijkheid van een Windows-versie.
“Verwijzingen naar Windows in de code duiden op het bestaan van een bijgewerkte Windows-client die de nieuwe Decoy Dog-mogelijkheden bevat, hoewel alle huidige voorbeelden zich op Linux richten”, merkte Infoblox in juli 2023 op.
De nieuwste bevindingen van Positive Technologies bevestigen vrijwel de aanwezigheid van een identieke versie van Decoy Dog voor Windows, die wordt geleverd aan bedrijfskritische hosts door middel van een lader die gebruik maakt van een speciale infrastructuur om de sleutel te verkrijgen voor het ontsleutelen van de payload.
Verdere analyse heeft aan het licht gebracht dat HellHounds een aangepaste versie van een ander open-sourceprogramma, bekend als 3snake, gebruikt om inloggegevens te verkrijgen op hosts die Linux draaien.
Positive Technologies zei dat de tegenstander er bij ten minste twee incidenten in slaagde aanvankelijk toegang te krijgen tot de infrastructuur van de slachtoffers via een aannemer die gecompromitteerde Secure Shell (SSH) inloggegevens gebruikte.
“De aanvallers zijn al lange tijd in staat hun aanwezigheid te behouden binnen kritieke organisaties in Rusland”, aldus de onderzoekers.
“Hoewel vrijwel de hele Hellhounds-toolkit gebaseerd is op open-sourceprojecten, hebben de aanvallers redelijk goed werk geleverd door deze aan te passen om de verdediging tegen malware te omzeilen en langdurige geheime aanwezigheid binnen gecompromitteerde organisaties te garanderen.”
