DupeDog: Golang‑фреймворк вредоносного ПО с C2 и AES‑шифрованием

Команда Tencent Cloud Security Threat Intelligence Team идентифицировала новый программный фреймворк под названием DupeDog. По структуре и возможностям это продвинутая платформа, совмещающая в себе механизмы удалённого доступа и заделы на функциональность программ-вымогателей. Вредоносное ПО написано преимущественно на Golang и маскируется под доброкачественные файлы — например, «резюме» или «видео с ошибкой», распространяясь с помощью фишинговых тактик.

Ключевые особенности DupeDog

• Язык реализации: Golang.
• Маскировка и доставка: фишинговые вложения, имитирующие легитимные файлы.
• Двойной функционал: возможности RDP/remote access и задел на ransomware-функции.
• Архитектурный идентификатор: повторяющееся использование имени DupeDog в названиях функций.

«DupeDog представляет собой сложный класс многофункционального вредоносного ПО, сочетающий механизмы обхода обнаружения, шифрования и управляемого взаимодействия с C2», — отмечают специалисты Tencent Cloud Security Threat Intelligence Team.

Архитектура конфигурации и загрузка настроек

Управление конфигурацией реализовано через Viper. Фреймворк встраивает в бинарный файл сжатые gzip-ресурсы в формате YAML, в том числе важный конфигурационный файл assets/application.yml. При запуске эти настройки загружаются в глобальные переменные и определяют параметры сетевых подключений, протоколы шифрования и задачи выполнения.

Сетевое поведение и тактики уклонения

Взаимодействие с командными серверами устроено с акцентом на сокрытие и устойчивость:

• Параметры C2 извлекаются из конфигурации через Viper и содержат несколько конечных точек и рабочих настроек.
• В HTTP-настройках предусмотрено отключение проверки сертификатов и заданные тайм-ауты, что усложняет стандартный анализ сетевого трафика и политику HTTPS-инспекции.
• Для запутывания мониторинга изменяются заголовки запроса: Referer, User-Agent, Cookie.

Криптография и форматы передачи данных

Для шифрования связи и для частей, предназначенных для ransomware-функциональности, DupeDog использует алгоритм AES-128-CBC. При формировании криптографического ключа фреймворк обеспечивает его длину в 16 байт — путём дополнения или усечения — после чего данные шифруются и кодируются в Base64. Процедуры расшифровки имеют согласованную структуру, что позволяет системам безопасности и IT-отделу корректно интерпретировать и обрабатывать входящие задачи с сервера.

Ransomware-компонент: состояние и характер угрозы

Компонент, связанный с программой-вымогателем, на данный момент находится в разработке. Наблюдаются следующие моменты:

• Записка о выкупе оформлена в минималистичном стиле.
• Используются фиксированные языковые шаблоны в коммуникациях, что указывает на намерение оказывать психологическое давление на жертву.
• Наличие задела на ransomware-функции говорит о высокой вероятности дальнейшего развития и усиления возможностей фреймворка.

Оценка угрозы и методология

В целом DupeDog демонстрирует продвинутый дизайн вредоносного ПО: комбинирование скрытой конфигурации, внедрённого YAML в бинарь, отключения проверки сертификатов и манипуляций с заголовками делает его устойчивым к традиционным методам обнаружения. Наличие шифрования на базе AES-128-CBC и стандартизированных процедур расшифровки повышает оперативную управляемость операций злоумышленников и упрощает для них распределение задач через C2.

Индикаторы компрометации (IoC) и на что обращать внимание

• Наличие в бинаре сжатых gzip-ресурсов YAML, в частности файл assets/application.yml.
• Использование Viper для загрузки конфигураций в рантайме.
• Необычные исходящие HTTPS-соединения с отключённой проверкой сертификата и специфичными тайм-аутами.
• Модификация заголовков: Referer, User-Agent, Cookie в запросах к неизвестным доменам.
• Передача зашифрованных payload’ов в формате Base64 с использованием AES-128-CBC.
• Файлы или вложения, маскирующиеся под «резюме» или «видео с ошибкой».

Рекомендации по защите и реагированию

• Обновить правила SIEM и EDR для обнаружения признаков использования Viper и встраивания gzip/YAML в бинарях.
• Следить за подозрительными исходящими подключениями с отключённой проверкой сертификатов и анализировать нестандартные тайм-ауты.
• Инспектировать и коррелировать изменения в заголовках HTTP-запросов (Referer, User-Agent, Cookie).
• Блокировать и детально исследовать фишинговые вложения, особенно те, что маскируются под документы или видео.
• Поддерживать регулярные офлайн-резервные копии данных и проверять процедуры восстановления.
• Провести обучение пользователей по распознаванию фишинга и сомнительных вложений.
• Изолировать подозрительные хосты и провести полное форентическое расследование при обнаружении следов DupeDog.

DupeDog — пример современной комбинации гибко настраиваемой конфигурации, криптографических механизмов и прицельных методов уклонения. Организациям рекомендуется повысить уровень мониторинга и проактивно внедрить указанные контрмеры до того, как ransomware-компонент будет доведён до коммерчески опасного состояния.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.