Aģents Racoon Backdoor

Nezināmi draudu dalībnieki ir aktīvi vērsušies pret organizācijām Tuvajos Austrumos, Āfrikā un Amerikas Savienotajās Valstīs, izmantojot jaunas aizmugures durvis ar nosaukumu Agent Racoon. Šī ļaunprogrammatūra, kas izstrādāta .NET ietvaros, izmanto domēna nosaukumu pakalpojuma (DNS) protokolu, lai izveidotu slēptu kanālu, nodrošinot dažādas aizmugures durvis.

Šo uzbrukumu upuri nāk no dažādām nozarēm, tostarp izglītības, nekustamā īpašuma, mazumtirdzniecības, bezpeļņas organizācijām, telekomunikācijām un valsts iestādēm. Pagaidām precīza draudu izpildītāja identitāte joprojām nav zināma. Uzbrukumu raksturs, ko raksturo upuru atlase un sarežģītu atklāšanas un izvairīšanās no aizsardzības paņēmienu izmantošana, liecina par iespējamu saskaņošanu ar nacionālo valsti.

Papildu ļaunprātīgas programmatūras rīki, kas izvietoti līdzās aģentam Racoon

Apdraudējuma dalībnieki savā darbībā ir izvietojuši papildu rīkus, tostarp pielāgotu Mimikatz versiju ar nosaukumu Mimilite un jaunu utilītu ar nosaukumu Ntospy. Ntospy izmanto pielāgotu DLL moduli, kas ievieš tīkla pakalpojumu sniedzēju, lai izzagtu attālā servera akreditācijas datus.

Mērķa organizācijās uzbrucēji parasti izmanto Ntospy. Tomēr jāatzīmē, ka rīks Mimilite un ļaunprogrammatūra Agent Racoon ir atklāti tikai vidē, kas saistīta ar bezpeļņas un ar valdību saistītām organizācijām.

Ir svarīgi uzsvērt, ka ar Ntospy izmantošanu ir saistīta arī iepriekš identificēta draudu darbību kopa. Interesanti, ka šis pretinieks ir mērķējis uz divām organizācijām, kuras arī tika pakļautas aģenta jenots uzbrukuma kampaņai.

Aģents jenots tiek izmantots kiberuzbrukuma sākotnējos posmos

Aģents Racoon darbojas kā aizmugures durvis, un tās galvenais mērķis ir sagatavot apdraudēto sistēmu turpmākām infekcijām. Ļaunprātīga programmatūra izveido saziņas kanālu ar savu Command-and-Control (C2, C&C) serveri, izmantojot DNS (Domain Name System) protokolu. Aģents Racoon galvenokārt darbojas, veicot plānotos uzdevumus, un nepaļaujas uz īpašām metodēm, lai nodrošinātu noturību. Tomēr tā komunikācijas cilpu izmantošana, mijiedarbojoties ar C&C serveri, var kalpot kā pretatrašanas taktika, kuras mērķis ir samazināt tīkla traucēšanas un aktivitātes pieauguma iespējamību.

Aģenta Racoon iespējas ietver komandu izpildi un failu augšupielādi un lejupielādi. Pirmā var atvieglot papildu nedroša satura iekļūšanu, savukārt otrā nodrošina datu izfiltrēšanu. Jo īpaši šajās infekcijās ir iekļauti papildu pretatklāšanas pasākumi, piemēram, pagaidu mapju izmantošana un rīks infekcijas artefaktu notīrīšanai pēc katra uzbrukuma. Turklāt dažas ļaunprātīgās programmas ir slēptas kā Microsoft atjauninājumi.

Novērotajos uzbrukumos, kas saistīti ar ļaunprātīgas programmatūras akreditācijas ievākšanu, izfiltrētie dati ietver viesabonēšanas lietotāju profilus un e-pastus no Microsoft Exchange klientiem.

Ir ļoti svarīgi atzīt, ka, ņemot vērā izplatīto tendenci, ka ļaunprātīgas programmatūras izstrādātāji pilnveido savu programmatūru un metodes, ir ticams, ka turpmākajās Agent Racoon iterācijās būs uzlabotas iespējas un ar šo programmu saistītās infekcijas varētu izmantot dažādas metodoloģijas.