Empresas de energia, empresas de TI e agências governamentais russas atingidas pelo Trojan Decoy Canine
![dns](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH8ZcmW9-GH3xeOuEbhWBdb9ccMATnVsBt-PD08_sU44QXp5ULH-TaKlY5RPOlCEgMyMRg7popHFf3YOeN3O0a8-DkFOT7PvFqHlw2oENwN3cpRRc8_Yp5f392iQKwXI_3HenCWBrV5N0i7SromtDghHdFL9JpFz0kHJ_sfbaMbkWg_N-ewSdb0LgZxA1g/s728-rw-e365/dns.png?w=780&resize=780,470&ssl=1)
![Troiano de cão chamariz Troiano de cão chamariz](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH8ZcmW9-GH3xeOuEbhWBdb9ccMATnVsBt-PD08_sU44QXp5ULH-TaKlY5RPOlCEgMyMRg7popHFf3YOeN3O0a8-DkFOT7PvFqHlw2oENwN3cpRRc8_Yp5f392iQKwXI_3HenCWBrV5N0i7SromtDghHdFL9JpFz0kHJ_sfbaMbkWg_N-ewSdb0LgZxA1g/s728-rw-e365/dns.png)
Organizações russas estão sendo alvo de ataques cibernéticos que entregam uma versão para Home windows de um malware chamado Decoy Canine.
A empresa de segurança cibernética Optimistic Applied sciences está rastreando o cluster de atividades sob o nome de Operação Lahat, atribuindo-o a um grupo de ameaças persistentes avançadas (APT) chamado HellHounds.
“O grupo Hellhounds compromete as organizações que eles selecionam e ganha uma posição em suas redes, permanecendo sem ser detectado durante anos”, disseram os pesquisadores de segurança Aleksandr Grigorian e Stanislav Pyzhov. “Ao fazer isso, o grupo aproveita vetores primários de comprometimento, desde serviços internet vulneráveis até relacionamentos confiáveis”.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEglCJRDD2a35JYAjdpTkjaOIHJmDIRAH-rFSsbNSz6yosGB0v4KxThK_X9HDjy1gY9Y6LZB4C0kJDEP0As22YRGxfWpoOMYd1YBQ95HvzJaZgYTIdfr5d63V_minp25ETG06NZQGkypFkBT1NSvKBfklJ7fU9utNwyawgSVkPsGLs8IfTr8UYToQDZpdW60/s728-e365/1p-d-v2.png)
HellHounds foi documentado pela primeira vez pela empresa no closing de novembro de 2023, após o comprometimento de uma empresa de energia não identificada com o trojan Decoy Canine. Foi confirmado que comprometeu 48 vítimas na Rússia até o momento, incluindo empresas de TI, governos, empresas da indústria espacial e provedores de telecomunicações.
Há evidências que indicam que o agente da ameaça tem como alvo empresas russas desde pelo menos 2021, com o desenvolvimento do malware em curso já em novembro de 2019.
Detalhes sobre Decoy Canine, uma variante personalizada do Pupy RAT de código aberto, surgiram em abril de 2023, quando a Infoblox descobriu o uso de tunelamento DNS pelo malware para comunicações com seu servidor de comando e controle (C2) para controlar remotamente hosts infectados.
Uma característica notável do malware é a sua capacidade de mover as vítimas de um controlador para outro, permitindo que os agentes da ameaça mantenham a comunicação com as máquinas comprometidas e permaneçam ocultos por longos períodos de tempo.
Os ataques envolvendo o sofisticado package de ferramentas limitaram-se principalmente à Rússia e à Europa Oriental, para não mencionar exclusivamente sistemas Linux isolados, embora a Infoblox tenha sugerido a possibilidade de uma versão para Home windows.
“As referências ao Home windows no código sugerem a existência de um cliente Home windows atualizado que inclui os novos recursos do Decoy Canine, embora todas as amostras atuais sejam direcionadas ao Linux”, observou a Infoblox em julho de 2023.
As últimas descobertas da Optimistic Applied sciences praticamente confirmam a presença de uma versão idêntica do Decoy Canine para Home windows, que é entregue a hosts de missão crítica por meio de um carregador que emprega infraestrutura dedicada para obter a chave para descriptografar a carga útil.
Uma análise mais aprofundada descobriu o uso pela HellHounds de uma versão modificada de outro programa de código aberto conhecido como 3snake para obter credenciais em hosts que executam Linux.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_WRs2jRYPNRPdVnIJ52g0Zo3TY_c0FSwk8ZZN085hqm-nXig4b7WIZCpqdHexadU4EmZ402vX1EghcAxIZGa9lwLkWAPPYzPbg1gc5UZCbvTtOHQ3ozwiQAgJ1ahKFoOp8SZl-JN8_URGwiu9aTe5U2wiVHGEetM-S7kKkmgPMNdL_83d5HTJrLm7iBp6/s728-e365/cis-d.png)
A Optimistic Applied sciences disse que em pelo menos dois incidentes, o adversário conseguiu obter acesso inicial à infraestrutura das vítimas por meio de um contratante usando credenciais de login Safe Shell (SSH) comprometidas.
“Os atacantes conseguem há muito tempo manter a sua presença dentro de organizações críticas localizadas na Rússia”, disseram os investigadores.
“Embora praticamente todo o package de ferramentas Hellhounds seja baseado em projetos de código aberto, os invasores fizeram um bom trabalho modificando-o para contornar as defesas contra malware e garantir uma presença secreta prolongada dentro de organizações comprometidas”.