Хакерская группировка Detour Dog создала сложную «фабрику вредоносного ПО», используя инновационную систему на базе DNS для распространения инфостилера Strela Stealer. Эта деятельность знаменует собой значительную эволюцию по сравнению с их предыдущими операциями, которые сводились к перенаправлению веб-трафика на мошеннические ресурсы. Смена тактики, вероятно, вызвана финансовыми мотивами, поскольку за последние 12-18 месяцев индустрия кибербезопасности усилила борьбу со скам-схемами, снизив их прибыльность.
Ключевая роль Detour Dog заключается в контроле доменов, на которых размещается бэкдор StarFish — первый этап атаки. Ранее группировка сотрудничала с такими сервисами распределения трафика, как Los Pollos (под эгидой VexTrio Viper), Help TDS и Monetizer TDS, однако теперь переключилась на активное распространение вредоносных программ. По данным аналитиков, это первый зафиксированный случай, когда Detour Dog напрямую участвует в доставке вредоносного ПО.
Техническая реализация атаки основана на использовании DNS TXT-записей в качестве канала управления (C2). Взламывая уязвимые сайты на WordPress, злоумышленники внедряют в них вредоносный код. Этот код отправляет специально отформатированные DNS-запросы на серверы имен, контролируемые Detour Dog. В ответ серверы отправляют команды на удаленное выполнение кода, замаскированные в Base64-кодировке и содержащие ключевое слово «down», которое инициирует загрузку вредоносного файла.
Для маскировки своей деятельности Detour Dog использует тактику низкой активности. В 90% случаев скомпрометированный сайт работает в обычном режиме, не вызывая подозрений. В 9% случаев посетитель перенаправляется на мошеннический сайт. И лишь в 1% случаев сайт получает команду на загрузку вредоносного ПО. Такая низкая частота атак позволяет инфекции оставаться незамеченной в течение длительного времени.
Конечной целью атаки является установка инфостилера Strela Stealer. За кампании с использованием этого вредоноса как минимум с 2022 года отвечает исключительно группировка Hive0145. Считается, что Hive0145 действует как финансово мотивированный брокер первоначального доступа (Initial Access Broker, IAB), продавая полученные данные и доступы другим киберпреступникам.
Первоначальным этапом заражения служит бэкдор StarFish, описанный в отчете IBM X-Force как простой обратный шелл (reverse shell). Он обеспечивает постоянный доступ к скомпрометированной системе и используется для развертывания основного вредоноса — Strela Stealer. По данным компании Infoblox, Detour Dog контролирует не менее 69% хостов, используемых для размещения StarFish.
Вся атака представляет собой пример четкого разделения труда в киберпреступной экосистеме. Доставка спам-сообщений осуществляется через наемные ботнеты, такие как REM Proxy и Tofsee. Затем Detour Dog обеспечивает инфраструктуру для первого этапа заражения и доставки бэкдора. Наконец, Hive0145 управляет конечным вредоносным ПО и монетизирует украденную информацию.
Исследователи из Lumen's Black Lotus Labs в прошлом месяце выяснили, что ботнет REM Proxy, состоящий из устройств MikroTik, работает на базе вредоносного ПО SystemBC. Другой ботнет, Tofsee, ранее распространялся с помощью загрузчика PrivateLoader, написанного на C++. Эти ботнеты рассылают фишинговые письма, заманивая жертв на взломанные сайты.
Расследованием деятельности Detour Dog занялась компания Infoblox, специализирующаяся на анализе DNS-угроз. Отслеживание началось в августе 2023 года после того, как компания Sucuri, принадлежащая GoDaddy, впервые сообщила об атаках на сайты WordPress с использованием DNS TXT-записей. Как заявила вице-президент по анализу угроз в Infoblox, доктор Рене Бертон, в комментарии для The Hacker News, «эта сетевая модель доставки, где различные этапы загружаются с разных хостов, значительно усложняет отслеживание и скрывает истинный источник вредоносного ПО».
В рамках противодействия угрозе Infoblox в сотрудничестве с Shadowserver Foundation провела операцию по перехвату управления (sinkholing) над двумя ключевыми C2-доменами Detour Dog. Домен
Существует гипотеза, что Detour Dog функционирует как провайдер «распространения как услуги» (Distribution-as-a-Service, DaaS). Это предположение подкрепляется фактом обнаружения «по всей видимости, несвязанного файла», который также распространялся через их инфраструктуру, что указывает на коммерческий характер их операций по доставке вредоносного ПО для различных заказчиков.
Изображение носит иллюстративный характер
Ключевая роль Detour Dog заключается в контроле доменов, на которых размещается бэкдор StarFish — первый этап атаки. Ранее группировка сотрудничала с такими сервисами распределения трафика, как Los Pollos (под эгидой VexTrio Viper), Help TDS и Monetizer TDS, однако теперь переключилась на активное распространение вредоносных программ. По данным аналитиков, это первый зафиксированный случай, когда Detour Dog напрямую участвует в доставке вредоносного ПО.
Техническая реализация атаки основана на использовании DNS TXT-записей в качестве канала управления (C2). Взламывая уязвимые сайты на WordPress, злоумышленники внедряют в них вредоносный код. Этот код отправляет специально отформатированные DNS-запросы на серверы имен, контролируемые Detour Dog. В ответ серверы отправляют команды на удаленное выполнение кода, замаскированные в Base64-кодировке и содержащие ключевое слово «down», которое инициирует загрузку вредоносного файла.
Для маскировки своей деятельности Detour Dog использует тактику низкой активности. В 90% случаев скомпрометированный сайт работает в обычном режиме, не вызывая подозрений. В 9% случаев посетитель перенаправляется на мошеннический сайт. И лишь в 1% случаев сайт получает команду на загрузку вредоносного ПО. Такая низкая частота атак позволяет инфекции оставаться незамеченной в течение длительного времени.
Конечной целью атаки является установка инфостилера Strela Stealer. За кампании с использованием этого вредоноса как минимум с 2022 года отвечает исключительно группировка Hive0145. Считается, что Hive0145 действует как финансово мотивированный брокер первоначального доступа (Initial Access Broker, IAB), продавая полученные данные и доступы другим киберпреступникам.
Первоначальным этапом заражения служит бэкдор StarFish, описанный в отчете IBM X-Force как простой обратный шелл (reverse shell). Он обеспечивает постоянный доступ к скомпрометированной системе и используется для развертывания основного вредоноса — Strela Stealer. По данным компании Infoblox, Detour Dog контролирует не менее 69% хостов, используемых для размещения StarFish.
Вся атака представляет собой пример четкого разделения труда в киберпреступной экосистеме. Доставка спам-сообщений осуществляется через наемные ботнеты, такие как REM Proxy и Tofsee. Затем Detour Dog обеспечивает инфраструктуру для первого этапа заражения и доставки бэкдора. Наконец, Hive0145 управляет конечным вредоносным ПО и монетизирует украденную информацию.
Исследователи из Lumen's Black Lotus Labs в прошлом месяце выяснили, что ботнет REM Proxy, состоящий из устройств MikroTik, работает на базе вредоносного ПО SystemBC. Другой ботнет, Tofsee, ранее распространялся с помощью загрузчика PrivateLoader, написанного на C++. Эти ботнеты рассылают фишинговые письма, заманивая жертв на взломанные сайты.
Расследованием деятельности Detour Dog занялась компания Infoblox, специализирующаяся на анализе DNS-угроз. Отслеживание началось в августе 2023 года после того, как компания Sucuri, принадлежащая GoDaddy, впервые сообщила об атаках на сайты WordPress с использованием DNS TXT-записей. Как заявила вице-президент по анализу угроз в Infoblox, доктор Рене Бертон, в комментарии для The Hacker News, «эта сетевая модель доставки, где различные этапы загружаются с разных хостов, значительно усложняет отслеживание и скрывает истинный источник вредоносного ПО».
В рамках противодействия угрозе Infoblox в сотрудничестве с Shadowserver Foundation провела операцию по перехвату управления (sinkholing) над двумя ключевыми C2-доменами Detour Dog. Домен
webdmonitor[.]io был перехвачен 30 июля, а aeroarrows[.]io — 6 августа. Существует гипотеза, что Detour Dog функционирует как провайдер «распространения как услуги» (Distribution-as-a-Service, DaaS). Это предположение подкрепляется фактом обнаружения «по всей видимости, несвязанного файла», который также распространялся через их инфраструктуру, что указывает на коммерческий характер их операций по доставке вредоносного ПО для различных заказчиков.
