俄罗斯电力公司、IT 公司和政府机构遭受 HellHounds（地狱猎犬）APT 组织攻击

关键词

俄罗斯机构正遭受网络攻击，这些攻击被发现传播一种名为“Decoy Dog”的恶意软件的 Windows 版本。

网络安全公司 Positive Technologies 正在追踪代号为 Operation Lahat 的活动集群，并将其归咎于名为HellHounds（地狱猎犬）的高级持续威胁 (APT) 组织。

安全研究人员亚历山大·格里戈里安 (Aleksandr Grigorian) 和斯坦尼斯拉夫·皮佐夫 (Stanislav Pyzhov)表示：“地狱猎犬 APT组织会入侵他们选定的目标，在这些目标网络站稳脚跟，多年不被发现。在这样做的过程中，该组织利用了主要的入侵媒介，从易受攻击的网络服务到可信任的关系。”

2023 年 11 月下旬，一家未具名的电力公司被 Decoy Dog 木马病毒感染，随后该公司首次记录了HellHounds 病毒。迄今为止，已证实该病毒已感染了俄罗斯的 48 名受害者，其中包括 IT 公司、政府、航天工业公司和电信提供商。

攻击链

有证据表明，该APT组织至少从 2021 年开始就将目标对准俄罗斯公司，恶意软件的开发早在 2019 年 11 月就开始了。

2023 年 4 月，Infoblox发现Decoy Dog（开源Pupy RAT的定制变体）使用 DNS 隧道与其命令和控制 (C2) 服务器进行通信以远程控制受感染的主机，有关该恶意软件的详细信息浮出水面。

该恶意软件的一个显着特点是它能够将受害者从一个控制器移动到另一个控制器，从而使攻击者能够与受感染的机器保持通信并在较长时间内保持隐藏。

涉及这一复杂工具包的攻击主要集中在俄罗斯和东欧，更不用说专门针对 Linux 系统，尽管 Infoblox 暗示了可能存在 Windows 版本。

Infoblox 在 2023 年 7 月指出：“代码中对 Windows 的引用暗示存在包含新 Decoy Dog 功能的更新 Windows 客户端，尽管当前所有样本都针对 Linux。”

Positive Technologies 的最新发现几乎证实了 Windows 版 Decoy Dog 的存在，该版本通过使用专用基础设施的加载器传送到关键任务主机以获取解密有效载荷的密钥。

进一步分析发现，HellHounds 使用另一个名为3snake的开源程序的修改版本来获取运行 Linux 主机上的凭证。

Positive Technologies 表示，在至少两起事件中，攻击者通过承包商使用受损的SSH登录凭据成功获取了受害者基础设施的初始访问权。

研究人员表示：“攻击者长期以来一直能够在俄罗斯的重要组织内部保持存在。”

“尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者对其进行了相当好的修改，以绕过恶意软件防御并确保在受感染组织内部长期隐蔽存在。”