Infoblox odkrywa zestaw narzędzi DNS dla złośliwego oprogramowania i namawia firmy do blokowania złośliwych domen

SANTA CLARA, Kalifornia., 20 kwietnia 2023 r. / PRNewswire / - Infoblox Inc., firma dostarczająca uproszczoną, działającą w chmurze platformę sieciową i zabezpieczającą, zapewniającą lepszą wydajność i ochronę, opublikowała dziś raport o zagrożeniu blog na zestawie narzędzi trojana zdalnego dostępu (RAT) z poleceniami i kontrolą DNS (C2). Zestaw narzędzi stworzył anomalną sygnaturę DNS obserwowaną w sieciach korporacyjnych w USA, Europie, Ameryka Południowa, Azja w sektorach technologii, opieki zdrowotnej, energetyki, finansów i innych. Niektóre z tych komunikatów trafiają do kontrolera w Rosja.

Ukuty jako „pies wabik”, Grupa analizy zagrożeń firmy Infoblox jako pierwsza odkryła ten zestaw narzędzi i współpracuje z innymi dostawcami zabezpieczeń, a także klientami, aby zakłócić tę działalność, zidentyfikować wektor ataku i zabezpieczyć globalne sieci. Kluczowym spostrzeżeniem jest to, że anomalie DNS mierzone w czasie nie tylko ujawniły się w RAT, ale ostatecznie powiązały pozornie niezależną komunikację C2. Analiza techniczna ustaleń Infoblox jest tutaj.

„Decoy Dog wyraźnie przypomina, jak ważna jest silna, ochronna strategia DNS” — powiedziała Renée Burton, starszy dyrektor ds. analizy zagrożeń w firmie Infoblox. „Infoblox koncentruje się na wykrywaniu zagrożeń w DNS, przerywaniu ataków przed ich rozpoczęciem i umożliwianiu klientom skupienia się na własnej działalności”.

Jako wyspecjalizowany dostawca zabezpieczeń opartych na DNS, Infoblox śledzi infrastrukturę przeciwnika i może wykryć podejrzaną aktywność na wczesnym etapie cyklu życia zagrożenia, gdzie istnieje „zamiar kompromitacji” i przed rozpoczęciem rzeczywistego ataku. W normalnym toku działalności wszelkie wskaźniki, które zostaną uznane za podejrzane, są uwzględniane w kanałach Infoblox dotyczących podejrzanych domen, kierowanych bezpośrednio do klientów, aby pomóc im zapobiegawczo chronić się przed nowymi i pojawiającymi się zagrożeniami.

Wykrywanie zagrożeń, anatomia i łagodzenie:

Firma Infoblox wcześnie wykryła aktywność trojana dostępu zdalnego (RAT) Pupy, aktywnego w wielu sieciach korporacyjnych Kwiecień 2023 . Od tego czasu ta komunikacja C2 pozostała nieodkryta Kwiecień 2022 .
RAT został wykryty na podstawie nieprawidłowej aktywności DNS w ograniczonych sieciach i urządzeniach sieciowych, takich jak zapory ogniowe; nie urządzenia użytkownika, takie jak laptopy lub urządzenia mobilne.
RAT tworzy ślad w DNS, który jest niezwykle trudny do wykrycia w izolacji, ale analizowany w globalnym, opartym na chmurze systemie ochronnym DNS, takim jak BloxOne® firmy Infoblox Ochrona przed zagrożeniami demonstruje silne zachowanie odstające. Ponadto pozwoliło firmie Infoblox połączyć ze sobą różne domeny.
Komunikacja C2 odbywa się przez DNS i jest oparta na otwartym kodzie źródłowym RAT o nazwie Pupy. Chociaż jest to projekt typu open source, był konsekwentnie kojarzony z podmiotami z państw narodowych.
Organizacje z ochronnym DNS mogą ograniczyć ryzyko. Klienci BloxOne Threat Defense są chronieni przed tymi podejrzanymi domenami.
W tym przypadku rosyjskie domeny C2 były już uwzględnione w kanałach Podejrzane domeny w BloxOne Threat Defense (Advanced) jesienią 2022 r. Oprócz kanału Podejrzane domeny domeny te zostały teraz dodane do kanału Infoblox dotyczącego ochrony przed złośliwym oprogramowaniem.
Infoblox nadal wzywa organizacje do blokowania następujących domen:

claudfront.net
dozwolona lista.net
atlas-upd.com
ads-tm-glb.click
cbox4.ignorelist.com
hsdps.cc

„Chociaż każdego dnia automatycznie wykrywamy tysiące podejrzanych domen na poziomie DNS – i przy takim poziomie korelacji, rzadko zdarza się, aby wszystkie te działania pochodziły z tego samego zestawu narzędzi wykorzystującego DNS do dowodzenia i kontroli” — dodał Burton.

Zespół Infoblox pracuje przez całą dobę, aby zrozumieć działanie DNS. Złożone problemy, takie jak ten, podkreślają potrzebę ogólnobranżowej strategii dogłębnej analizy, w której każdy przyczynia się do zrozumienia całego zakresu zagrożenia.

Pełne podsumowanie zagrożeń pt „Polowanie na psa: znajdowanie zestawu narzędzi dla psów wabików za pośrednictwem anomalnego ruchu DNS” kliknij tutaj.

Informacje o grupie ds. analizy zagrożeń firmy Infoblox:

Grupa ds. analizy zagrożeń w firmie Infoblox zajmuje się tworzeniem wysokiej jakości danych analitycznych usługi nazw domen (DNS) typu „zablokuj i zapomnij” do użytku w BloxOne Threat Defense. Istotą strategii ochrony Infoblox jest identyfikacja podejrzanych domen. Grupa Infoblox Threat Intelligence Group wykorzystuje opatentowany algorytm uczenia maszynowego, aby zminimalizować ryzyko przestojów przedsiębiorstwa, jednocześnie umożliwiając maksymalne pokrycie zagrożeń. Infoblox identyfikuje podejrzane domeny za pomocą kilku niestandardowe algorytmy i polowanie na zagrożenia oparte na DNS.

Organizacja koncentruje się na serwerach DNS i podmiotach infrastrukturalnych. Zespół może identyfikować podejrzane zachowania, zanim ich skutki zostaną rozpoznane przez sąsiednie obszary branży (punkty końcowe, dostawcy usług sieciowych) i może śledzić uporczywe podmioty w celu zablokowania ich infrastruktury DNS, zanim stanie się to problemem dla naszych klientów. Aktorzy zajmujący się zagrożeniami często rejestrują domeny z dużym wyprzedzeniem przed użyciem ich do ataków, zwykle z 14-120 dniowym wyprzedzeniem, ale widzieliśmy, jak domeny pozostawały w stanie uśpienia przez ponad dwa lata – jak w tym przypadku.

O Infobloxie

Infoblox łączy sieci i bezpieczeństwo, aby zapewnić niezrównaną wydajność i ochronę. Zaufały nam firmy z listy Fortune 100 i wschodzący innowatorzy. Zapewniamy wgląd w czasie rzeczywistym i kontrolę nad tym, kto i co łączy się z Twoją siecią, dzięki czemu Twoja organizacja działa szybciej i wcześniej powstrzymuje zagrożenia. Odwiedzać infoblox.comlub śledź nas dalej LinkedIn or Twitter.

Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
Źródło: https://www.darkreading.com/vulnerabilities-threats/infoblox-uncovers-dns-malware-toolkit-urges-companies-to-block-malicious-domains

Generatywna analiza danych

Infoblox odkrywa zestaw narzędzi do złośliwego oprogramowania DNS i wzywa firmy do blokowania złośliwych domen

Blocktrade Breakthrough: Share Emission on CONDA Capital Market Signals New Era in Blockchain Fundraising

Blocktrade Revolutionizes Capital Raising with Share Emission on CONDA’s Blockchain Platform Amidst Crypto Market Shifts and Regulatory Updates

Najnowsza inteligencja

Innowacyjna emisja akcji Blocktrade na rynku kapitałowym CONDA: Pionierskie pozyskiwanie funduszy i możliwości inwestycyjne w ramach Blockchain

Odważne posunięcie Blocktrade: rozpoczęcie emisji akcji na rynku kapitałowym CONDA w obliczu ewolucji kryptowalut i zmian regulacyjnych

Blocktrade rozpoczyna innowacyjne pozyskiwanie funduszy za pośrednictwem rynku kapitałowego CONDA wśród prognoz rajdów kryptowalut i zmian regulacyjnych

Blocktrade rewolucjonizuje finansowanie kapitałowe dzięki emisji akcji na rynku kapitałowym CONDA w obliczu dynamicznie rozwijającej się gospodarki kryptowalutowej

Blocktrade wykorzystuje innowacje dzięki emisji akcji na rynku kapitałowym CONDA w obliczu dynamicznej ewolucji branży kryptowalut

Transporter Chainlink: klucz do płynnego transferu aktywów w różnych łańcuchach bloków