Infoblox da a conocer un kit de herramientas para combatir el malware

Infoblox publicó su reporte de amenazas sobre un kit de herramientas de troyanos de acceso remoto (RAT, por sus siglas en inglés) con comando y control (C2) para DNS. El kit de herramientas creó una firma DNS anómala observada en redes de empresas de Estados Unidos, Europa, Suramérica y Asia en los sectores de la tecnología, atención a la salud, energía, servicios financieros y otros. Algunas de estas comunicaciones se dirigen a un controlador en Rusia.

Con el nombre “Decoy Dog”, Threat Intelligence Group de Infoblox fue el primero en descubrir este kit de herramientas y colabora con otros proveedores de soluciones de seguridad, y también con clientes, para desalentar está actividad, identificar el vector de ataque y proteger redes globales. El aspecto decisivo es que las anomalías DNS medidas con el tiempo no solo sacaron los RAT a la luz, sino que finalmente enlazaron comunicaciones C2 aparentemente independientes.

“Decoy Dog es un firme recordatorio de la importancia de contar con una sólida estrategia para la protección de servidores DNS”, señaló Renée Burton, director sénior de inteligencia de amenazas de Infoblox. “Infoblox está enfocado en detectar amenazas en DNS, evadiendo ataques antes de que ocurran, y permitiendo a los clientes enfocarse en sus actividades de negocios”.

Como proveedor especializado en soluciones de seguridad para DNS, Infoblox da seguimiento a la infraestructura de sus adversarios y puede detectar actividad sospechosa al principio del ciclo de vida de las amenazas, dónde hay “intención de compromiso” y antes de que se inicie el ataque real. Como el curso normal de la actividad de los negocios, cualquier indicador que se considere sospechoso será incluido en los reportes de dominios sospechosos Infoblox, directo para los clientes, para ayudarles a protegerse de manera preventiva de amenazas nuevas y emergentes.

Descubrimiento, anatomía y mitigación de amenazas:

• Infoblox descubrió actividad del troyano de acceso remoto (RAT) Pupy activo en múltiples redes empresariales a principios de abril de 2023. Está comunicación C2 pasó desapercibida desde abril de 2022.
• El RAT fue detectado a partir de actividad DNS anómala en redes limitadas y en dispositivos de red como firewalls; no en dispositivos de usuarios como laptops o dispositivos móviles.
• El RAT crea una huella en DNS que es en extremo difícil de detectar en aislamiento; pero, cuando se analiza en un sistema global de protección DNS basado en la nube como Infoblox BloxOne® Threat Defense, demuestra un sólido comportamiento atípico. Además, permitió a Infoblox vincular los dominios independientes.
• Las comunicaciones C2 se realizan a través de DNS y están basadas un RAT de código abierto llamado Pupy. Aunque este es un proyecto de código abierto, se le ha asociado de manera consistente con actores de estados naciones.
• Las organizaciones con DNS de protección pueden mitigar su riesgo. Los usuarios de BloxOne Threat Defense están protegidos de estos dominios sospechosos.
• En este caso, los dominios C2 rusos ya estaban incluidos en los reportes de dominios sospechosos de BloxOne Threat Defense (Advanced) en el otoño de 2022. Además del reporte de dominios sospechosos, estos dominios han sido agregados ahora al reporte antimalware de Infoblox.

Infoblox continúa recomendando a las organizaciones bloquear los siguientes dominios:

• • claudfront[.]net
  • allowlisted[.]net
  • atlas-upd[.]com
  • ads-tm-glb[.]click
  • cbox4[.]ignorelist[.]com
  • hsdps[.]cc

“Aunque detectamos automáticamente miles de dominios sospechosos cada día en el nivel DNS (y con este nivel de correlación), es poco común descubrir que todas estas actividades se originen del mismo kit de herramientas que aprovecha el servidor DNS para ejercer comando y control”, agregó Burton.

El equipo de Infoblox trabaja las 24 horas del día para entender la actividad DNS. Problemas complejos como este evidencian la necesidad de contar con una estrategia de inteligencia a fondo para toda la industria dónde todos contribuyen a entender el campo de acción de una amenaza.