Infoblox descubre un conjunto de herramientas de malware DNS e insta a las empresas a bloquear dominios maliciosos

SANTA CLARA, California., Abril 20, 2023 / PRNewswire / - Infoblox Inc., la empresa que ofrece una plataforma de red y seguridad simplificada y habilitada para la nube para mejorar el rendimiento y la protección, publicó hoy una informe de amenaza blog en un kit de herramientas de troyano de acceso remoto (RAT) con comando y control de DNS (C2). El kit de herramientas creó una firma DNS anómala observada en redes empresariales en los EE. UU., Europa, América del Sury Asia en tecnología, salud, energía, finanzas y otros sectores. Algunas de estas comunicaciones van a un controlador en Rusia.

Acuñado "Perro señuelo" Grupo de inteligencia de amenazas de Infoblox fue el primero en descubrir este conjunto de herramientas y está colaborando con otros proveedores de seguridad, así como con clientes, para interrumpir esta actividad, identificar el vector de ataque y proteger las redes globales. La idea crítica es que las anomalías de DNS medidas a lo largo del tiempo no solo surgieron en la RAT, sino que finalmente vincularon comunicaciones C2 aparentemente independientes. Un análisis técnico de los hallazgos de Infoblox es esta página.

“Decoy Dog es un claro recordatorio de la importancia de tener una estrategia de DNS sólida y protectora”, dijo Renée Burton, directora sénior de inteligencia sobre amenazas de Infoblox. “Infoblox se enfoca en detectar amenazas en DNS, interrumpir los ataques antes de que comiencen y permitir que los clientes se concentren en su propio negocio”.

Como proveedor de seguridad basado en DNS especializado, Infoblox rastrea la infraestructura del adversario y puede detectar actividades sospechosas al principio del ciclo de vida de la amenaza, donde existe la "intención de comprometer" y antes de que comience el ataque real. Como parte normal de los negocios, cualquier indicador que se considere sospechoso se incluye en las fuentes de dominio sospechoso de Infoblox, directamente a los clientes, para ayudarlos a protegerse de manera preventiva contra amenazas nuevas y emergentes.

Descubrimiento, anatomía y mitigación de amenazas:

Infoblox descubrió actividad del troyano de acceso remoto (RAT) Pupy activo en múltiples redes empresariales a principios Abril de 2023. Esta comunicación C2 pasó desapercibida desde Abril de 2022.
La RAT se detectó a partir de actividad DNS anómala en redes limitadas y en dispositivos de red como firewalls; no dispositivos de usuario como computadoras portátiles o dispositivos móviles.
La RAT crea una huella en el DNS que es extremadamente difícil de detectar de forma aislada pero, cuando se analiza en un sistema de DNS de protección global basado en la nube como BloxOne® de Infoblox Threat Defense, demuestra un fuerte comportamiento atípico. Además, permitió a Infoblox unir los dominios dispares.
Las comunicaciones C2 se realizan a través de DNS y se basan en una RAT de código abierto llamada Pupy. Si bien este es un proyecto de código abierto, se ha asociado consistentemente con actores del estado-nación.
Las organizaciones con DNS protector pueden mitigar su riesgo. Los clientes de BloxOne Threat Defense están protegidos contra estos dominios sospechosos.
En este caso, los dominios C2 rusos ya estaban incluidos en las fuentes de dominios sospechosos en BloxOne Threat Defense (Advanced) en el otoño de 2022. Además de la fuente de dominios sospechosos, estos dominios ahora se agregaron a la fuente antimalware de Infoblox.
Infoblox continúa instando a las organizaciones a bloquear los siguientes dominios:

claudfront.net
permitidos.net
atlas-upd.com
anuncios-tm-glb.click
cbox4.ignorelist.com
hsdps.cc

“Si bien detectamos automáticamente miles de dominios sospechosos todos los días a nivel de DNS, y con este nivel de correlación, es raro descubrir que todas estas actividades se originan en el mismo conjunto de herramientas que aprovecha el DNS para comando y control”, agregó Burton.

El equipo de Infoblox está trabajando las XNUMX horas para comprender la actividad del DNS. Los problemas complejos como este resaltan la necesidad de una estrategia de inteligencia en profundidad en toda la industria en la que todos contribuyan a comprender el alcance completo de una amenaza.

Para el resumen completo de amenazas titulado “Dog Hunt: Finding Decoy Dog Toolkit via Traffic DNS anómalo” clic esta página.

Acerca del grupo de inteligencia sobre amenazas de Infoblox:

El Threat Intelligence Group de Infoblox se dedica a crear datos de inteligencia del servicio de nombres de dominio (DNS) de "bloquear y olvidar" de alta fidelidad para usar en BloxOne Threat Defense. El núcleo de la estrategia de protección de Infoblox es la identificación de dominios sospechosos. Threat Intelligence Group de Infoblox utiliza un algoritmo de aprendizaje automático patentado para minimizar el riesgo de interrupciones empresariales al tiempo que permite la máxima cobertura de amenazas. Infoblox identifica dominios sospechosos a través de varios algoritmos personalizados y búsqueda de amenazas basada en DNS.

La organización se enfoca en los actores de DNS e infraestructura. El equipo puede identificar comportamientos sospechosos antes de que las áreas adyacentes de la industria conozcan su impacto (punto final, proveedores de netflow) y puede rastrear a los actores persistentes para bloquear su infraestructura de DNS antes de que se convierta en un problema para nuestros clientes. Los actores de amenazas a menudo registran dominios mucho antes de usarlos para ataques, generalmente con 14 a 120 días de anticipación, pero hemos visto dominios inactivos durante más de dos años, como este ejemplo.

Acerca de Infoblox

Infoblox une las redes y la seguridad para ofrecer un rendimiento y una protección inigualables. Con la confianza de empresas Fortune 100 e innovadores emergentes, brindamos visibilidad y control en tiempo real sobre quién y qué se conecta a su red, para que su organización funcione más rápido y detenga las amenazas antes. Visita infoblox.com, o síguenos en Etiqueta LinkedIn or Twitter.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Acuñando el futuro con Adryenn Ashley. Accede Aquí.
Fuente: https://www.darkreading.com/vulnerabilities-threats/infoblox-uncovers-dns-malware-toolkit-urges-companies-to-block-malicious-domains

Inteligencia de datos generativa

Infoblox descubre el kit de herramientas de malware de DNS e insta a las empresas a bloquear dominios maliciosos

Tres estrategias para ganar la carrera armamentista en ciberseguridad

Caleb Avery, fundador y director ejecutivo de Tilled, habla sobre la creación de PayFac-as-a-Service

Información más reciente

Oferta especial: esta placa de inducción con encimera de dos quemadores cuesta solo $ 100 (41 % de descuento) – CleanTechnica

Eli abre reservas para su microcoche eléctrico ZERO de 12 dólares en EE. UU. – CleanTechnica

Hello, Dot de Niantic te ofrece una mascota de realidad mixta en Quest 3

Quest 3 tiene una resolución efectiva más alta, entonces, ¿por qué todos piensan que Vision Pro se ve mejor?

El shooter de extracción en realidad virtual Ghosts Of Tabor ya está disponible en Pico

café vc