הסוכן Racoon Backdoor

שחקני איומים לא ידועים תקפו באופן פעיל ארגונים במזרח התיכון, אפריקה וארצות הברית, תוך שימוש בדלת אחורית חדשה בשם הסוכן דביבון. תוכנה זדונית זו, שפותחה במסגרת .NET, משתמשת בפרוטוקול Domain Name Service (DNS) כדי ליצור ערוץ נסתר, המאפשר פונקציונליות מגוונת של דלת אחורית.

הקורבנות של התקפות אלה מגיעים ממגזרים מגוונים, כולל חינוך, נדל"ן, קמעונאות, ארגונים ללא מטרות רווח, טלקומוניקציה וגופים ממשלתיים. עד כה, זהותו המדויקת של שחקן האיום נותרה עלומה. אופי ההתקפות, המאופיין בבחירת הקורבנות ובניצול טכניקות מתוחכמות של גילוי והתחמקות מהגנה, מעיד על פוטנציאל להתיישר עם מדינת לאום.

כלים נוספים של תוכנות זדוניות שנפרסו לצד ה- Agent Racoon

שחקני האיום פרסו כלים נוספים בהפעלתם, כולל גרסה מותאמת אישית של Mimikatz בשם Mimilite וכלי שירות חדש בשם Ntospy. Ntospy משתמש במודול DLL מותאם אישית שמיישם ספק רשת כדי לגזל אישורים עבור שרת מרוחק.

ברחבי הארגונים הממוקדים, Ntospy משמש בדרך כלל על ידי התוקפים. עם זאת, ראוי לציין שהכלי Mimilite והתוכנה הזדונית Agent Racoon התגלו באופן בלעדי בסביבות הקשורות לעמותות ולארגונים הקשורים לממשלה.

חשוב להדגיש שאשכול פעילות איומים שזוהה בעבר נקשר גם לשימוש ב-Ntospy. מעניין, היריב הזה תקף שני ארגונים שהיו נתונים גם למסע התקפת הסוכן Racoon.

נעשה שימוש ב- Agent Racoon בשלבים הראשונים של מתקפת הסייבר

ה- Agent Racoon מתפקד כדלת אחורית, כאשר מטרתו העיקרית היא להכין את המערכת שנפגעה לזיהומים הבאים. התוכנה הזדונית מייצרת ערוץ תקשורת עם שרת ה-Command-and-Control (C2, C&C) שלו באמצעות פרוטוקול DNS (Domain Name System). Agent Racoon פועל בעיקר באמצעות משימות מתוזמנות ואינו מסתמך על טכניקות ספציפיות להבטחת התמדה. עם זאת, השימוש שלו בלולאות תקשורת בעת אינטראקציה עם שרת ה-C&C עשוי לשמש כטקטיקה נגד זיהוי, שמטרתה להפחית את הסבירות לשיבוש רשת ולעליות פעילות.

היכולות של ה- Agent Racoon כוללות ביצוע פקודות והעלאה והורדה של קבצים. הראשון עשוי להקל על חדירת תוכן לא בטוח נוסף, בעוד שהאחרון מאפשר חילוף נתונים. יש לציין כי זיהומים אלו משלבים אמצעים נוספים נגד זיהוי, כגון שימוש בתיקיות זמניות וכלי לניקוי חפצי זיהום לאחר כל התקפה. יתרה מכך, חלק מהתוכניות הזדוניות מוסוות לעדכוני מיקרוסופט.

בהתקפות שנצפו הכוללות תוכנות זדוניות שאוספות אישורים, הנתונים שהוחלפו כוללים פרופילי משתמש נודדים ודואר אלקטרוני מלקוחות Microsoft Exchange.

חשוב להכיר בכך שבהתחשב במגמה הנפוצה של מפתחי תוכנות זדוניות משכללות את התוכנה והטכניקות שלהם, סביר שהאיטרציות העתידיות של ה- Agent Racoon יציגו יכולות משופרות והידבקויות הקשורות לתוכנית זו יוכלו לאמץ מתודולוגיות מגוונות.