Agent Racoon Backdoor

استهدفت جهات تهديد غير معروفة بشكل نشط مؤسسات في الشرق الأوسط وأفريقيا والولايات المتحدة، باستخدام باب خلفي جديد يسمى العميل راكون. تستخدم هذه البرامج الضارة، التي تم تطويرها ضمن إطار عمل .NET، بروتوكول خدمة اسم المجال (DNS) لإنشاء قناة مخفية، مما يتيح وظائف الباب الخلفي المتنوعة.

ويأتي ضحايا هذه الهجمات من قطاعات متنوعة، بما في ذلك التعليم والعقارات وتجارة التجزئة والمنظمات غير الربحية والاتصالات والهيئات الحكومية. وحتى الآن، لا تزال الهوية الدقيقة لمنفذ التهديد مجهولة. إن طبيعة الهجمات، التي تتميز باختيار الضحايا واستخدام تقنيات الكشف والتهرب الدفاعي المتطورة، تشير إلى احتمال التحالف مع الدولة القومية.

تم نشر أدوات برامج ضارة إضافية جنبًا إلى جنب مع Agent Racoon

وقد نشرت الجهات الفاعلة في مجال التهديد أدوات إضافية في عملياتها، بما في ذلك نسخة مخصصة من Mimikatz تسمى Mimilite وأداة مساعدة جديدة تسمى Ntospy. يستخدم Ntospy وحدة DLL مخصصة تقوم بتنفيذ موفر شبكة لسرقة بيانات الاعتماد لخادم بعيد.

عبر المنظمات المستهدفة، يتم استخدام Ntospy بشكل شائع من قبل المهاجمين. ومع ذلك، تجدر الإشارة إلى أنه تم اكتشاف أداة Mimilite والبرنامج الضار Agent Racoon حصريًا في البيئات المرتبطة بالمنظمات غير الربحية والمنظمات ذات الصلة بالحكومة.

من المهم تسليط الضوء على أن مجموعة أنشطة التهديد التي تم تحديدها مسبقًا قد تم ربطها أيضًا باستخدام Ntospy. ومن المثير للاهتمام أن هذا الخصم استهدف منظمتين تعرضتا أيضًا لحملة هجوم العميل راكون.

يتم استخدام العميل Racoon خلال المراحل الأولية للهجوم الإلكتروني

يعمل العميل Racoon كباب خلفي، وهدفه الأساسي هو إعداد النظام المخترق للإصابة اللاحقة. تنشئ البرامج الضارة قناة اتصال مع خادم القيادة والتحكم (C2، C&C) الخاص بها من خلال بروتوكول DNS (نظام اسم المجال). يعمل العميل Racoon بشكل أساسي من خلال المهام المجدولة ولا يعتمد على تقنيات محددة لضمان الاستمرارية. ومع ذلك، فإن استخدامه لحلقات الاتصال عند التفاعل مع خادم القيادة والتحكم قد يكون بمثابة تكتيك مضاد للاكتشاف، يهدف إلى تقليل احتمالية تشويش الشبكة وزيادة النشاط.

تتضمن إمكانيات Agent Racoon تنفيذ الأوامر وتحميل الملفات وتنزيلها. قد يسهل الأول تسلل محتوى إضافي غير آمن، بينما يتيح الأخير إمكانية تسرب البيانات. ومن الجدير بالذكر أن هذه الإصابات تشتمل على تدابير إضافية لمكافحة الاكتشاف، مثل استخدام المجلدات المؤقتة وأداة لمسح عناصر العدوى بعد كل هجوم. علاوة على ذلك، يتم إخفاء بعض البرامج الضارة في صورة تحديثات Microsoft.

في الهجمات التي تمت ملاحظتها والتي تتضمن برامج ضارة لجمع الاعتمادات، تشمل البيانات المسربة ملفات تعريف المستخدمين المتجولة ورسائل البريد الإلكتروني من عملاء Microsoft Exchange.

من المهم الاعتراف بأنه، نظرًا للاتجاه الشائع لمطوري البرامج الضارة الذين يقومون بتحسين برامجهم وتقنياتهم، فمن المعقول أن تتميز التكرارات المستقبلية لبرنامج Agent Racoon بقدرات محسنة ويمكن أن تتبنى الإصابات المرتبطة بهذا البرنامج منهجيات متنوعة.