Detour Dog و کارخانه بدافزار مبتنی بر DNS: تهدیدی تازه برای امنیت وب امنیت خبرهای روز دنیای تکنولوژی
Detour Dog
امنیت

Detour Dog و کارخانه بدافزار مبتنی بر DNS: تهدیدی تازه برای امنیت وب

  • توسط
  • ۱۴۰۴/۰۷/۱۲
  • 0 نظرات
  • کمتر از یک دقیقه
  • 60 بازدیدها
  • 8 ماه پیش
Detour Dog

در سال‌های اخیر، مجرمان سایبری همواره روش‌های پیچیده‌تری برای نفوذ و سوءاستفاده از زیرساخت‌های آنلاین به کار گرفته‌اند. یکی از جدیدترین نمونه‌ها، تهدیدی است که با نام Detour Dog شناخته می‌شود. این بازیگر تهدید (Threat Actor) به تازگی به عنوان گرداننده کمپین‌های توزیع Strela Stealer شناسایی شده است؛ بدافزاری که با هدف سرقت اطلاعات حساس کاربران توسعه یافته و به‌شدت در حال گسترش است.

بر اساس تحقیقات شرکت Infoblox، زیرساخت‌های تحت کنترل Detour Dog نقش کلیدی در میزبانی مرحله اول این حملات دارند؛ مرحله‌ای که شامل یک بک‌دور ساده اما موثر به نام StarFish است. این بدافزار در حقیقت یک شل معکوس (Reverse Shell) بوده که به عنوان دروازه ورود استریلا استیلر به سیستم قربانی عمل می‌کند.

سابقه فعالیت Detour Dog

فعالیت‌های Detour Dog دست‌کم به فوریه ۲۰۲۰ بازمی‌گردد. در آن زمان، حملات وی با تمرکز بر تزریق کدهای مخرب به وب‌سایت‌های وردپرسی و استفاده از رکوردهای DNS TXT به‌عنوان کانال ارتباطی شناخته شد. این تکنیک ابتدا برای توزیع ترافیک مخرب (TDS) و هدایت کاربران به سایت‌های مشکوک و تبلیغاتی به کار می‌رفت.

اما امروز، بر اساس یافته‌های جدید، این حملات تکامل یافته و علاوه بر ریدایرکت، امکان اجرای کدهای مخرب از راه دور از طریق زیرساخت DNS نیز فراهم شده است. این تغییر نشان می‌دهد که Detour Dog از یک مجری کلاهبرداری اینترنتی ساده به یک توزیع‌کننده بدافزار در مقیاس وسیع تغییر مسیر داده است.

Strela Stealer و نقش StarFish

بدافزار Strela Stealer اولین بار در سال ۲۰۲۲ توسط گروهی با نام Hive0145 مشاهده شد. این گروه به عنوان یک Initial Access Broker (IAB) شناخته می‌شود؛ یعنی مجرمانی که دسترسی اولیه به سیستم‌های آلوده را به سایر گروه‌های باج‌افزاری یا هکرها می‌فروشند.

طبق گزارش IBM X-Force در ژوئیه ۲۰۲۵، بک‌دور StarFish از طریق فایل‌های SVG مخرب به قربانی منتقل می‌شود. هدف این است که مهاجم یک دسترسی پایدار روی سیستم ایجاد کند تا بتواند استریلا استیلر را اجرا کند.

زنجیره حمله Detour Dog

تحلیل Infoblox نشان می‌دهد که حداقل ۶۹% سرورهای مرحله اول StarFish تحت کنترل مستقیم Detour Dog قرار دارند. در این حملات، دو بات‌نت مهم نقش اساسی داشته‌اند:

  • REM Proxy که بر پایه SystemBC فعالیت می‌کند.
  • Tofsee که با کمک لودر PrivateLoader منتشر شده است.

این بات‌نت‌ها وظیفه ارسال اسپم ایمیل‌های حاوی پیوست مخرب را بر عهده داشته‌اند. اما مرحله حیاتی در زیرساخت Detour Dog رخ می‌دهد؛ جایی که بدافزار از طریق رکوردهای DNS TXT منتقل و کنترل می‌شود.

روش کار DNS-Powered Malware

یکی از نوآورانه‌ترین جنبه‌های این حمله، استفاده از DNS به‌عنوان کانال توزیع بدافزار است. در این مدل:

  1. کاربر یک فایل مخرب (مثلاً SVG) را باز می‌کند.
  2. فایل با یک سایت آلوده ارتباط می‌گیرد.
  3. سایت درخواست DNS TXT را به سرور C2 تحت کنترل Detour Dog ارسال می‌کند.
  4. سرور C2 با رکوردی پاسخ می‌دهد که حاوی یک URL برای مرحله بعدی است (با پیشوند down).
  5. وب‌سایت آلوده پیشوند را حذف کرده و دستور دانلود بدافزار (StarFish) را اجرا می‌کند.
  6. بدافزار سپس ارتباط جدیدی با دامنه دیگر برقرار کرده و مراحل مشابه را تکرار می‌کند.

این چرخه باعث می‌شود هکرها هویت واقعی خود را پنهان کنند و ردگیری توسط محققان امنیتی بسیار دشوارتر شود.

چرا این حمله خطرناک است؟

ویژگی بارز این حمله در مخفی‌کاری هوشمندانه آن نهفته است. وب‌سایت آلوده در ۹۰% مواقع کاملاً عادی عمل می‌کند و هیچ نشانه‌ای از مشکل ندارد. تنها در ۹% بازدیدها کاربران به سایت‌های تبلیغاتی یا کلاهبرداری هدایت می‌شوند و در ۱% موارد دستور اجرای فایل مخرب صادر می‌شود.

این درصد پایین باعث می‌شود احتمال کشف حمله کاهش یابد و مهاجمان بتوانند برای مدت طولانی بدون شناسایی به فعالیت خود ادامه دهند.

اقدامات مقابله‌ای

Infoblox با همکاری بنیاد Shadowserver موفق شد دو دامنه C2 مهم Detour Dog یعنی:

  • webdmonitor[.]io
  • aeroarrows[.]io

را در جولای و آگوست ۲۰۲۵ مسدود و Sinkhole کند. با این حال، به دلیل ماهیت غیرمتمرکز حملات مبتنی بر DNS، بعید است که این اقدام به‌تنهایی مانع فعالیت کامل مهاجمان شود.

حمله‌های اخیر Detour Dog نشان می‌دهد که مجرمان سایبری در حال استفاده از DNS نه فقط برای ارتباط، بلکه برای توزیع بدافزار هستند. این مدل جدید می‌تواند به سرعت در میان سایر گروه‌های هکری نیز محبوب شود زیرا هم مقاوم در برابر شناسایی است و هم امکان پنهان‌سازی لایه‌های مختلف حمله را فراهم می‌کند.

برای مدیران وب‌سایت‌ها، به‌ویژه سایت‌های وردپرسی، مهم است که به‌روزرسانی‌های امنیتی را جدی بگیرند، از Web Application Firewall (WAF) استفاده کنند و رفتارهای غیرعادی DNS را مانیتور نمایند.

به نظر می‌رسد که Detour Dog از یک مجری کلاهبرداری اینترنتی ساده به یک توزیع‌کننده بدافزار به‌عنوان سرویس (Malware Distribution-as-a-Service) تغییر مسیر داده است؛ مدلی که می‌تواند تهدیدات آینده را بیش از پیش پیچیده و گسترده کند.

    برچسب ها:

    این پست را به اشتراک بگذارید:

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    مطالب مشابه

    Notepad++
    امنیت

    بدافزار در به‌روزرسانی Notepad++ ، خطر آلوده شدن کاربران

    ۱۴۰۴/۰۹/۱۹
    XWiki
    امنیت, مجازی سازی

    حملات سایبری جدید به VMware و XWiki در جریان

    ۱۴۰۴/۰۸/۱۳
    دارک‌نت
    امنیت, هوش مصنوعی

    مهندسی اجتماعی و هوش مصنوعی: استخدام مجرمان سایبری در

    ۱۴۰۴/۰۶/۲۲
    ابر خصوصی
    مجازی سازی

    پلتفرم‌های ابر خصوصی؛ زیرساختی برای آینده‌ای امن‌تر در حکمرانی

    ۱۴۰۴/۰۵/۱۵
    SharePoint
    امنیت

    مایکروسافت در معرض حملات هدفمند به SharePoint – آیا

    ۱۴۰۴/۰۴/۳۰
    نسخه جدید 7-Zip
    امنیت

    نسخه جدید ۷-Zip : افزایش چشمگیر سرعت فشرده‌سازی و

    ۱۴۰۴/۰۴/۱۶