Pintu Belakang Agen Racoon

Aktor ancaman yang tidak diketahui telah secara aktif menyasarkan organisasi di Timur Tengah, Afrika dan Amerika Syarikat, menggunakan pintu belakang novel bernama Agent Racoon. Perisian hasad ini, dibangunkan dalam rangka kerja .NET, menggunakan protokol Perkhidmatan Nama Domain (DNS) untuk mewujudkan saluran tersembunyi, membolehkan kefungsian pintu belakang yang pelbagai.

Mangsa serangan ini datang daripada pelbagai sektor, termasuk pendidikan, hartanah, peruncitan, organisasi bukan untung, telekomunikasi dan entiti kerajaan. Setakat ini, identiti sebenar pelakon ancaman itu masih tidak diketahui. Sifat serangan, dicirikan oleh pemilihan mangsa dan penggunaan pengesanan canggih dan teknik pengelakan pertahanan, mencadangkan potensi penjajaran dengan negara bangsa.

Alat Perisian Hasad Tambahan Digunakan Bersama Agen Racoon

Aktor ancaman telah menggunakan alat tambahan dalam operasi mereka, termasuk versi tersuai Mimikatz bernama Mimilite dan utiliti baru yang dipanggil Ntospy. Ntospy menggunakan modul DLL tersuai yang melaksanakan pembekal rangkaian untuk mencuri bukti kelayakan untuk pelayan jauh.

Di seluruh organisasi yang disasarkan, Ntospy biasanya digunakan oleh penyerang. Walau bagaimanapun, perlu diperhatikan bahawa alat Mimilite dan perisian hasad Agent Racoon telah ditemui secara eksklusif dalam persekitaran yang dikaitkan dengan organisasi bukan untung dan berkaitan kerajaan.

Adalah penting untuk menyerlahkan bahawa kelompok aktiviti ancaman yang dikenal pasti sebelum ini juga telah dikaitkan dengan penggunaan Ntospy. Menariknya, musuh ini telah menyasarkan dua organisasi yang turut dikenakan kempen serangan Agent Racoon.

Racoon Agen Digunakan Semasa Peringkat Awal Serangan Siber

Agen Racoon berfungsi sebagai pintu belakang, dengan objektif utamanya adalah untuk menyediakan sistem yang terjejas untuk jangkitan berikutnya. Malware mewujudkan saluran komunikasi dengan pelayan Command-and-Control (C2, C&C) melalui protokol DNS (Domain Name System). Agent Racoon beroperasi terutamanya melalui tugas yang dijadualkan dan tidak bergantung pada teknik khusus untuk memastikan kegigihan. Walau bagaimanapun, penggunaan gelung komunikasinya apabila berinteraksi dengan pelayan C&C mungkin berfungsi sebagai taktik anti-pengesanan, bertujuan untuk mengurangkan kemungkinan gangguan rangkaian dan lonjakan aktiviti.

Keupayaan Agen Racoon termasuk melaksanakan arahan dan memuat naik dan memuat turun fail. Yang pertama boleh memudahkan penyusupan kandungan tambahan yang tidak selamat, manakala yang kedua membolehkan penyusutan data. Terutamanya, jangkitan ini menggabungkan langkah anti-pengesanan tambahan, seperti penggunaan folder sementara dan alat untuk membersihkan artifak jangkitan selepas setiap serangan. Selain itu, beberapa program berniat jahat menyamar sebagai kemas kini Microsoft.

Dalam serangan yang diperhatikan yang melibatkan kredensia mengumpul perisian hasad, data yang dieksfiltrasi merangkumi profil pengguna perayauan dan e-mel daripada pelanggan Microsoft Exchange.

Adalah penting untuk mengakui bahawa, memandangkan trend biasa pembangun perisian hasad yang memperhalusi perisian dan teknik mereka, adalah munasabah bahawa lelaran Agent Racoon pada masa hadapan akan menampilkan keupayaan yang dipertingkatkan dan jangkitan yang dikaitkan dengan program ini boleh menggunakan metodologi yang pelbagai.