سانتا كلارا ، كاليفورنيا., 20 نيسان / PRNewswire / - Infoblox Inc. ، الشركة التي تقدم نظامًا أساسيًا مبسطًا ومبسطًا للشبكات والأمان من أجل تحسين الأداء والحماية ، نشرت اليوم تقرير التهديد  مدونة على مجموعة أدوات طروادة الوصول عن بُعد (RAT) باستخدام أوامر وتحكم DNS (C2). أنشأت مجموعة الأدوات توقيعًا غير طبيعي لنظام أسماء النطاقات لوحظ في شبكات المؤسسات في الولايات المتحدة ،  أوروبا, أمريكا الجنوبيةو آسيا عبر قطاعات التكنولوجيا والرعاية الصحية والطاقة والمالية وغيرها. تذهب بعض هذه الاتصالات إلى وحدة تحكم في روسيا.

صاغ "شرك الكلب" مجموعة معلومات التهديد الخاصة بـ Infoblox كان أول من اكتشف مجموعة الأدوات هذه ويتعاون مع بائعي الأمان الآخرين ، وكذلك العملاء ، لتعطيل هذا النشاط ، وتحديد ناقل الهجوم ، وتأمين الشبكات العالمية. إن البصيرة الحاسمة هي أن اختلالات DNS التي تم قياسها بمرور الوقت لم تظهر فقط RAT ، ولكنها ربطت في النهاية معًا اتصالات C2 مستقلة على ما يبدو. التحليل الفني لنتائج Infoblox هو هنا.

قال رينيه بيرتون ، المدير الأول لمخابرات التهديدات لشركة Infoblox: "تُعد لعبة Decoy Dog بمثابة تذكير صارخ بأهمية وجود إستراتيجية قوية ووقائية لنظام أسماء النطاقات". "يركز Infoblox على اكتشاف التهديدات في DNS ، وتعطيل الهجمات قبل أن تبدأ ، والسماح للعملاء بالتركيز على أعمالهم الخاصة." 

كمورد متخصص للأمن المستند إلى DNS ، تتعقب Infoblox البنية التحتية للخصم ويمكن أن ترى نشاطًا مشبوهًا في وقت مبكر من دورة حياة التهديد ، حيث توجد "نية للتنازل" وقبل بدء الهجوم الفعلي. كإجراء عادي للأعمال ، يتم تضمين أي مؤشرات تعتبر مشبوهة في خلاصات المجال المشبوهة الخاصة بـ Infoblox ، مباشرة إلى العملاء ، لمساعدتهم على حماية أنفسهم بشكل استباقي ضد التهديدات الجديدة والناشئة.

اكتشاف التهديد وتشريحه والتخفيف من حدته: 

• اكتشف Infoblox نشاطًا من جرو طروادة الوصول عن بُعد (RAT) نشط في شبكات مؤسسة متعددة في وقت مبكر أبريل 2023. لم يتم اكتشاف اتصال C2 هذا منذ ذلك الحين أبريل 2022.
• تم اكتشاف RAT من نشاط DNS غير طبيعي على شبكات محدودة وفي أجهزة الشبكة مثل جدران الحماية ؛ ليس أجهزة المستخدم مثل أجهزة الكمبيوتر المحمولة أو الأجهزة المحمولة.
• تخلق RAT بصمة في DNS يصعب للغاية اكتشافها بمعزل عن غيرها ، ولكن عند تحليلها في نظام DNS وقائي عالمي قائم على السحابة مثل Infoblox's BloxOne® دفاع ضد التهديدات ، يوضح السلوك المتطرف القوي. علاوة على ذلك ، فقد سمح لـ Infoblox بربط المجالات المتباينة معًا.
• يتم إجراء اتصالات C2 عبر DNS وتستند إلى RAT مفتوح المصدر يسمى Pupy. في حين أن هذا مشروع مفتوح المصدر ، فقد ارتبط باستمرار بالجهات الفاعلة في الدولة القومية.
• يمكن للمنظمات التي لديها DNS حماية أن تخفف من مخاطرها. يتم حماية عملاء BloxOne Threat Defense من هذه المجالات المشبوهة.
• في هذه الحالة ، تم بالفعل تضمين نطاقات C2 الروسية في خلاصات المجالات المشبوهة في BloxOne Threat Defense (Advanced) في خريف عام 2022. بالإضافة إلى موجز المجالات المشبوهة ، تمت إضافة هذه المجالات الآن إلى موجز Infoblox لمكافحة البرامج الضارة.
• يواصل Infoblox حث المنظمات على حظر المجالات التالية:
• claudfront.net
• allowlisted.net
• atlas-upd.com
• الإعلانات-tm-glb.click
• cbox4.ignorelist.com
• hsdps.cc

وأضاف بيرتون: "بينما نكتشف تلقائيًا الآلاف من المجالات المشبوهة يوميًا على مستوى DNS - ومع هذا المستوى من الارتباط ، فمن النادر اكتشاف هذه الأنشطة كلها من نفس مجموعة الأدوات التي تستفيد من DNS للقيادة والتحكم".

يعمل فريق Infoblox على مدار الساعة لفهم نشاط DNS. تسلط المشكلات المعقدة مثل هذه المشكلة الضوء على الحاجة إلى استراتيجية استخباراتية متعمقة على مستوى الصناعة حيث يساهم الجميع في فهم النطاق الكامل للتهديد.

للحصول على ملخص التهديد الكامل بعنوان "Dog Hunt: Finding Decoy Dog Toolkit عبر حركة مرور DNS الشاذة" انقر هنا.

حول مجموعة معلومات التهديد الخاصة بـ Infoblox:

مجموعة معلومات التهديدات في Infoblox مكرسة لإنشاء بيانات استخباراتية لخدمة اسم المجال (DNS) عالية الدقة "للحظر والنسيان" لاستخدامها في BloxOne Threat Defense. تتمثل استراتيجية الحماية الأساسية لـ Infoblox في تحديد المجالات المشبوهة. تستخدم مجموعة Infoblox's Threat Intelligence Group خوارزمية التعلم الآلي الحاصلة على براءة اختراع لتقليل مخاطر انقطاع المؤسسة مع إتاحة أقصى تغطية للتهديدات. يحدد Infoblox المجالات المشبوهة من خلال عدة خوارزميات مخصصة ومطاردة التهديدات القائمة على DNS.

تركز المنظمة على DNS والجهات الفاعلة في البنية التحتية. يمكن للفريق تحديد السلوك المشبوه قبل أن يعرف تأثيره من قبل المناطق المجاورة للصناعة (نقطة النهاية ، بائعو netflow) ، ويمكنه تتبع الجهات الفاعلة المستمرة لحظر البنية التحتية لنظام أسماء النطاقات قبل أن تصبح مشكلة لعملائنا. غالبًا ما يسجل ممثلو التهديدات المجالات قبل وقت طويل من استخدامها للهجمات ، عادةً قبل 14-120 يومًا ، لكننا رأينا المجالات خاملة لما يزيد عن عامين - مثل هذه الحالة في هذه الحالة.

حول Infoblox 

يجمع Infoblox بين الشبكات والأمان لتقديم أداء وحماية لا مثيل لهما. نوفر ثقتًا من شركات Fortune 100 والمبتكرين الناشئين ، نقدم رؤية في الوقت الفعلي والتحكم في من وما يتصل بشبكتك ، بحيث تعمل مؤسستك بشكل أسرع وتوقف التهديدات في وقت مبكر. يزور infoblox.comأو تابعنا لينكدين: or  تويتر.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/infoblox-uncovers-dns-malware-toolkit-urges-companies-to-block-malicious-domains