Впервые о вредоносном ПО Decoy Dog стало публично известно в апреле 2023 года, однако к моменту появления первых исследований о бэкдоре он активно использовалось злоумышленниками по меньшей мере с конца 2021 года. При этом, согласно данным нашего исследования, разработка инструментария велась как минимум с 2019 года. Decoy Dog — это сложное вредоносное ПО, которое представляет собой эволюцию open-source проекта Pupy RAT. Основными возможностями Decoy Dog являются: DNS-туннелирование, DGA, персонализация (вредоносное ПО нацелено и выполняется только на конкретной машине-жертве), отправка телеметрии и т. д.
Decoy Dog является флагманским инструментом APT-группы Hellhounds, подробный отчет о которой мы опубликовали в ноябре 2023 года. В настоящее время APT-группа Hellhounds продолжает активно атаковать организации в России. По нашим данным, с помощью Decoy Dog были скомпрометированы как минимум 48 организаций в ИТ, государственной, космической, энергетической и других отраслях России. В настоящее время нет свидетельств, позволяющих с точностью определить цель атак злоумышленников, однако в одном из инцидентов злоумышленники сумели вывести из строя некоторые сервисы оператора связи в России.
В нашей презентации мы поговорим про:
Эволюцию вредоносного ПО Hellhound — от Pupy RAT до Decoy Dog;
Версии Decoy Dog для Linux и Windows (про Decoy Dog для Windows ранее не рассказывали публично);
Тактики и техники (TTPs) группы Hellhound, которые мы обнаружили в ходе расследования инцидентов и исследования группы.
Александр Григорян
Positive Technologies
Станислав Пыжов
Positive Technologies