Agent Racoon Backdoor
अज्ञात धमकी देने वाले एजेंट एजेंट रैकून नामक एक नए पिछले दरवाजे का उपयोग करके मध्य पूर्व, अफ्रीका और संयुक्त राज्य अमेरिका में संगठनों को सक्रिय रूप से लक्षित कर रहे हैं। .NET फ्रेमवर्क के भीतर विकसित यह मैलवेयर, विभिन्न बैकडोर कार्यात्मकताओं को सक्षम करते हुए, एक गुप्त चैनल स्थापित करने के लिए डोमेन नाम सेवा (DNS) प्रोटोकॉल का उपयोग करता है।
इन हमलों के पीड़ित शिक्षा, रियल एस्टेट, खुदरा, गैर-लाभकारी संगठन, दूरसंचार और सरकारी संस्थाओं सहित विभिन्न क्षेत्रों से आते हैं। अब तक, धमकी देने वाले अभिनेता की सटीक पहचान अज्ञात बनी हुई है। हमलों की प्रकृति, पीड़ितों के चयन और परिष्कृत पहचान और रक्षा चोरी तकनीकों के उपयोग की विशेषता, एक राष्ट्र-राज्य के साथ संभावित संरेखण का सुझाव देती है।
एजेंट रैकून के साथ अतिरिक्त मैलवेयर उपकरण तैनात किए गए
धमकी देने वाले अभिनेताओं ने अपने ऑपरेशन में अतिरिक्त उपकरण तैनात किए हैं, जिनमें मिमिकात्ज़ का एक अनुकूलित संस्करण जिसका नाम मिमिलिट है और एनटोस्पी नामक एक नई उपयोगिता शामिल है। Ntospy एक कस्टम DLL मॉड्यूल को नियोजित करता है जो एक दूरस्थ सर्वर के लिए क्रेडेंशियल्स चुराने के लिए एक नेटवर्क प्रदाता को लागू करता है।
सभी लक्षित संगठनों में, Ntospy का उपयोग आमतौर पर हमलावरों द्वारा किया जाता है। हालाँकि, यह उल्लेखनीय है कि मिमिलिट टूल और एजेंट रैकून मैलवेयर विशेष रूप से गैर-लाभकारी और सरकार से संबंधित संगठनों से जुड़े वातावरण में खोजे गए हैं।
यह उजागर करना महत्वपूर्ण है कि पहले से पहचाने गए खतरे की गतिविधि क्लस्टर को भी Ntospy के उपयोग से जोड़ा गया है। दिलचस्प बात यह है कि इस प्रतिद्वंद्वी ने दो संगठनों को निशाना बनाया है जो एजेंट रैकून हमले अभियान के अधीन थे।
साइबर हमले के शुरुआती चरणों के दौरान एजेंट रैकून का उपयोग किया जाता है
एजेंट रैकून एक पिछले दरवाजे के रूप में कार्य करता है, जिसका प्राथमिक उद्देश्य बाद के संक्रमणों के लिए समझौता प्रणाली तैयार करना है। मैलवेयर DNS (डोमेन नेम सिस्टम) प्रोटोकॉल के माध्यम से अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ एक संचार चैनल स्थापित करता है। एजेंट रैकून मुख्य रूप से निर्धारित कार्यों के माध्यम से काम करता है और दृढ़ता सुनिश्चित करने के लिए विशिष्ट तकनीकों पर निर्भर नहीं होता है। हालाँकि, C&C सर्वर के साथ इंटरैक्ट करते समय संचार लूप का उपयोग एक एंटी-डिटेक्शन रणनीति के रूप में काम कर सकता है, जिसका उद्देश्य नेटवर्क जैमिंग और गतिविधि स्पाइक्स की संभावना को कम करना है।
एजेंट रैकून की क्षमताओं में कमांड निष्पादित करना और फ़ाइलें अपलोड करना और डाउनलोड करना शामिल है। पहला अतिरिक्त असुरक्षित सामग्री की घुसपैठ की सुविधा प्रदान कर सकता है, जबकि दूसरा डेटा घुसपैठ को सक्षम बनाता है। विशेष रूप से, इन संक्रमणों में अतिरिक्त पहचान-रोधी उपाय शामिल होते हैं, जैसे अस्थायी फ़ोल्डरों का उपयोग और प्रत्येक हमले के बाद संक्रमण कलाकृतियों को साफ़ करने के लिए एक उपकरण। इसके अलावा, कुछ दुर्भावनापूर्ण प्रोग्राम Microsoft अपडेट के रूप में प्रच्छन्न होते हैं।
क्रेडेंटिया कलेक्टिंग मैलवेयर से जुड़े देखे गए हमलों में, एक्सफ़िल्टर्ड डेटा में रोमिंग उपयोगकर्ता प्रोफ़ाइल और Microsoft एक्सचेंज क्लाइंट के ईमेल शामिल हैं।
यह स्वीकार करना महत्वपूर्ण है कि, मैलवेयर डेवलपर्स द्वारा अपने सॉफ़्टवेयर और तकनीकों को परिष्कृत करने की आम प्रवृत्ति को देखते हुए, यह प्रशंसनीय है कि एजेंट रैकून के भविष्य के पुनरावृत्तियों में उन्नत क्षमताएं होंगी और इस कार्यक्रम से जुड़े संक्रमण विविध तरीकों को अपना सकते हैं।
