Agent Racoon Backdoor

عوامل تهدید ناشناخته به طور فعال سازمان‌هایی را در خاورمیانه، آفریقا و ایالات متحده هدف قرار داده‌اند و از یک درب پشتی جدید به نام عامل راکون استفاده می‌کنند. این بدافزار که در چارچوب دات نت توسعه یافته است، از پروتکل سرویس نام دامنه (DNS) برای ایجاد یک کانال مخفی استفاده می کند و عملکردهای درب پشتی متنوعی را امکان پذیر می کند.

قربانیان این حملات از بخش‌های مختلف از جمله آموزش، املاک، خرده‌فروشی، سازمان‌های غیرانتفاعی، مخابرات و نهادهای دولتی هستند. تاکنون هویت دقیق عامل تهدید ناشناخته مانده است. ماهیت حملات، که با انتخاب قربانیان و استفاده از تکنیک‌های پیچیده شناسایی و فرار دفاعی مشخص می‌شود، نشان‌دهنده همسویی بالقوه با یک دولت-ملت است.

ابزارهای بدافزار اضافی در کنار Agent Racoon مستقر شده اند

عوامل تهدید ابزارهای اضافی را در عملیات خود به کار گرفته اند، از جمله نسخه سفارشی Mimikatz به نام Mimilite و یک ابزار جدید به نام Ntospy. Ntospy از یک ماژول DLL سفارشی استفاده می کند که یک ارائه دهنده شبکه را برای سرقت اعتبار یک سرور راه دور پیاده سازی می کند.

در سراسر سازمان های هدف، Ntospy معمولا توسط مهاجمان استفاده می شود. با این حال، قابل توجه است که ابزار Mimilite و بدافزار Agent Racoon منحصراً در محیط‌های مرتبط با سازمان‌های غیرانتفاعی و دولتی کشف شده‌اند.

مهم است که برجسته شود که یک خوشه فعالیت تهدید قبلاً شناسایی شده نیز با استفاده از Ntospy مرتبط است. جالب اینجاست که این دشمن دو سازمان را که در معرض کمپین حمله Agent Racoon نیز قرار گرفته بودند، هدف قرار داده است.

راکون عامل در مراحل اولیه حمله سایبری استفاده می شود

Agent Racoon به عنوان یک درب پشتی عمل می کند و هدف اصلی آن آماده کردن سیستم در معرض خطر برای عفونت های بعدی است. این بدافزار یک کانال ارتباطی با سرور Command-and-Control (C2, C&C) خود از طریق پروتکل DNS (سیستم نام دامنه) ایجاد می کند. Agent Racoon اساساً از طریق وظایف برنامه ریزی شده عمل می کند و به تکنیک های خاصی برای اطمینان از پایداری متکی نیست. با این حال، استفاده از حلقه‌های ارتباطی در هنگام تعامل با سرور C&C ممکن است به عنوان یک تاکتیک ضد تشخیص عمل کند، با هدف کاهش احتمال پارازیت شبکه و افزایش فعالیت.

از قابلیت های Agent Racoon می توان به اجرای دستورات و آپلود و دانلود فایل ها اشاره کرد. اولی ممکن است نفوذ محتوای ناامن اضافی را تسهیل کند، در حالی که دومی امکان استخراج داده ها را فراهم می کند. قابل ذکر است، این عفونت ها شامل اقدامات ضد تشخیص اضافی، مانند استفاده از پوشه های موقت و ابزاری برای پاک کردن مصنوعات عفونت پس از هر حمله هستند. علاوه بر این، برخی از برنامه های مخرب به عنوان به روز رسانی مایکروسافت پنهان شده اند.

در حملات مشاهده شده شامل بدافزار جمع آوری اعتبار، داده های استخراج شده شامل پروفایل های کاربر رومینگ و ایمیل های مشتریان Microsoft Exchange می شود.

بسیار مهم است که اذعان کنیم، با توجه به روند رایج توسعه دهندگان بدافزار که نرم افزارها و تکنیک های خود را اصلاح می کنند، قابل قبول است که تکرارهای آتی Agent Racoon دارای قابلیت های پیشرفته و عفونت های مرتبط با این برنامه می تواند روش های مختلفی را اتخاذ کند.