Agent Racoon Backdoor
عوامل تهدید ناشناخته به طور فعال سازمانهایی را در خاورمیانه، آفریقا و ایالات متحده هدف قرار دادهاند و از یک درب پشتی جدید به نام عامل راکون استفاده میکنند. این بدافزار که در چارچوب دات نت توسعه یافته است، از پروتکل سرویس نام دامنه (DNS) برای ایجاد یک کانال مخفی استفاده می کند و عملکردهای درب پشتی متنوعی را امکان پذیر می کند.
قربانیان این حملات از بخشهای مختلف از جمله آموزش، املاک، خردهفروشی، سازمانهای غیرانتفاعی، مخابرات و نهادهای دولتی هستند. تاکنون هویت دقیق عامل تهدید ناشناخته مانده است. ماهیت حملات، که با انتخاب قربانیان و استفاده از تکنیکهای پیچیده شناسایی و فرار دفاعی مشخص میشود، نشاندهنده همسویی بالقوه با یک دولت-ملت است.
ابزارهای بدافزار اضافی در کنار Agent Racoon مستقر شده اند
عوامل تهدید ابزارهای اضافی را در عملیات خود به کار گرفته اند، از جمله نسخه سفارشی Mimikatz به نام Mimilite و یک ابزار جدید به نام Ntospy. Ntospy از یک ماژول DLL سفارشی استفاده می کند که یک ارائه دهنده شبکه را برای سرقت اعتبار یک سرور راه دور پیاده سازی می کند.
در سراسر سازمان های هدف، Ntospy معمولا توسط مهاجمان استفاده می شود. با این حال، قابل توجه است که ابزار Mimilite و بدافزار Agent Racoon منحصراً در محیطهای مرتبط با سازمانهای غیرانتفاعی و دولتی کشف شدهاند.
مهم است که برجسته شود که یک خوشه فعالیت تهدید قبلاً شناسایی شده نیز با استفاده از Ntospy مرتبط است. جالب اینجاست که این دشمن دو سازمان را که در معرض کمپین حمله Agent Racoon نیز قرار گرفته بودند، هدف قرار داده است.
راکون عامل در مراحل اولیه حمله سایبری استفاده می شود
Agent Racoon به عنوان یک درب پشتی عمل می کند و هدف اصلی آن آماده کردن سیستم در معرض خطر برای عفونت های بعدی است. این بدافزار یک کانال ارتباطی با سرور Command-and-Control (C2, C&C) خود از طریق پروتکل DNS (سیستم نام دامنه) ایجاد می کند. Agent Racoon اساساً از طریق وظایف برنامه ریزی شده عمل می کند و به تکنیک های خاصی برای اطمینان از پایداری متکی نیست. با این حال، استفاده از حلقههای ارتباطی در هنگام تعامل با سرور C&C ممکن است به عنوان یک تاکتیک ضد تشخیص عمل کند، با هدف کاهش احتمال پارازیت شبکه و افزایش فعالیت.
از قابلیت های Agent Racoon می توان به اجرای دستورات و آپلود و دانلود فایل ها اشاره کرد. اولی ممکن است نفوذ محتوای ناامن اضافی را تسهیل کند، در حالی که دومی امکان استخراج داده ها را فراهم می کند. قابل ذکر است، این عفونت ها شامل اقدامات ضد تشخیص اضافی، مانند استفاده از پوشه های موقت و ابزاری برای پاک کردن مصنوعات عفونت پس از هر حمله هستند. علاوه بر این، برخی از برنامه های مخرب به عنوان به روز رسانی مایکروسافت پنهان شده اند.
در حملات مشاهده شده شامل بدافزار جمع آوری اعتبار، داده های استخراج شده شامل پروفایل های کاربر رومینگ و ایمیل های مشتریان Microsoft Exchange می شود.
بسیار مهم است که اذعان کنیم، با توجه به روند رایج توسعه دهندگان بدافزار که نرم افزارها و تکنیک های خود را اصلاح می کنند، قابل قبول است که تکرارهای آتی Agent Racoon دارای قابلیت های پیشرفته و عفونت های مرتبط با این برنامه می تواند روش های مختلفی را اتخاذ کند.