Agent Racoon Backdoor

ਅਗਿਆਤ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਮੱਧ ਪੂਰਬ, ਅਫਰੀਕਾ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਸੰਗਠਨਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ, ਏਜੰਟ ਰੈਕੂਨ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਬੈਕਡੋਰ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ। ਇਹ ਮਾਲਵੇਅਰ, .NET ਫਰੇਮਵਰਕ ਦੇ ਅੰਦਰ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਛੁਪਿਆ ਹੋਇਆ ਚੈਨਲ ਸਥਾਪਤ ਕਰਨ ਲਈ ਡੋਮੇਨ ਨਾਮ ਸੇਵਾ (DNS) ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਵਿਭਿੰਨ ਬੈਕਡੋਰ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦੇ ਪੀੜਤ ਵਿਭਿੰਨ ਖੇਤਰਾਂ ਤੋਂ ਆਉਂਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਸਿੱਖਿਆ, ਰੀਅਲ ਅਸਟੇਟ, ਪ੍ਰਚੂਨ, ਗੈਰ-ਲਾਭਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਦੂਰਸੰਚਾਰ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਅਜੇ ਤੱਕ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਸਹੀ ਪਛਾਣ ਅਣਜਾਣ ਹੈ। ਹਮਲਿਆਂ ਦੀ ਪ੍ਰਕਿਰਤੀ, ਪੀੜਤਾਂ ਦੀ ਚੋਣ ਅਤੇ ਆਧੁਨਿਕ ਖੋਜ ਅਤੇ ਰੱਖਿਆ ਚੋਰੀ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਦਰਸਾਈ ਗਈ, ਇੱਕ ਰਾਸ਼ਟਰ-ਰਾਜ ਦੇ ਨਾਲ ਇੱਕ ਸੰਭਾਵੀ ਅਨੁਕੂਲਤਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।

ਏਜੰਟ ਰੈਕੂਨ ਦੇ ਨਾਲ ਵਾਧੂ ਮਾਲਵੇਅਰ ਟੂਲ ਤਾਇਨਾਤ ਕੀਤੇ ਗਏ ਹਨ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਆਪਣੀ ਕਾਰਵਾਈ ਵਿੱਚ ਅਤਿਰਿਕਤ ਟੂਲ ਤਾਇਨਾਤ ਕੀਤੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਮਿਮੀਕਾਟਜ਼ ਨਾਮ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਅਤੇ Ntospy ਨਾਮਕ ਇੱਕ ਨਵੀਂ ਉਪਯੋਗਤਾ ਸ਼ਾਮਲ ਹੈ। Ntospy ਇੱਕ ਕਸਟਮ DLL ਮੋਡੀਊਲ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਨੈੱਟਵਰਕ ਪ੍ਰਦਾਤਾ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸੰਗਠਨਾਂ ਵਿੱਚ, Ntospy ਆਮ ਤੌਰ 'ਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਮਿਮਾਲਟ ਟੂਲ ਅਤੇ ਏਜੰਟ ਰੈਕੂਨ ਮਾਲਵੇਅਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਗੈਰ-ਲਾਭਕਾਰੀ ਅਤੇ ਸਰਕਾਰੀ-ਸਬੰਧਤ ਸੰਸਥਾਵਾਂ ਨਾਲ ਜੁੜੇ ਵਾਤਾਵਰਨ ਵਿੱਚ ਖੋਜੇ ਗਏ ਹਨ.

ਇਹ ਉਜਾਗਰ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਪਹਿਲਾਂ ਤੋਂ ਪਛਾਣੇ ਗਏ ਧਮਕੀ ਗਤੀਵਿਧੀ ਕਲੱਸਟਰ ਨੂੰ ਵੀ Ntospy ਦੀ ਵਰਤੋਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, ਇਸ ਵਿਰੋਧੀ ਨੇ ਦੋ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ ਜੋ ਏਜੰਟ ਰੈਕੂਨ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੇ ਅਧੀਨ ਵੀ ਸਨ।

ਏਜੰਟ ਰੇਕੂਨ ਦੀ ਵਰਤੋਂ ਸਾਈਬਰ ਅਟੈਕ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਦੌਰਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ

ਏਜੰਟ ਰੈਕੂਨ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਅਗਲੀਆਂ ਲਾਗਾਂ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨੂੰ ਤਿਆਰ ਕਰਨਾ ਹੈ। ਮਾਲਵੇਅਰ DNS (ਡੋਮੇਨ ਨੇਮ ਸਿਸਟਮ) ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨਾਲ ਇੱਕ ਸੰਚਾਰ ਚੈਨਲ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਏਜੰਟ ਰੈਕੂਨ ਮੁੱਖ ਤੌਰ 'ਤੇ ਅਨੁਸੂਚਿਤ ਕੰਮਾਂ ਦੁਆਰਾ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਦ੍ਰਿੜਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਖਾਸ ਤਕਨੀਕਾਂ 'ਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, C&C ਸਰਵਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਸਮੇਂ ਸੰਚਾਰ ਲੂਪਸ ਦੀ ਵਰਤੋਂ ਇੱਕ ਐਂਟੀ-ਡਿਟੈਕਸ਼ਨ ਰਣਨੀਤੀ ਦੇ ਰੂਪ ਵਿੱਚ ਕੰਮ ਕਰ ਸਕਦੀ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਨੈੱਟਵਰਕ ਜਾਮਿੰਗ ਅਤੇ ਗਤੀਵਿਧੀ ਦੇ ਵਾਧੇ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਣਾ ਹੈ।

ਏਜੰਟ ਰੈਕੂਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਨਾ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਪਹਿਲਾ ਵਾਧੂ ਅਸੁਰੱਖਿਅਤ ਸਮੱਗਰੀ ਦੀ ਘੁਸਪੈਠ ਦੀ ਸਹੂਲਤ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਬਾਅਦ ਵਾਲਾ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਲਾਗਾਂ ਵਿੱਚ ਵਾਧੂ ਐਂਟੀ-ਡਿਟੈਕਸ਼ਨ ਉਪਾਅ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਅਸਥਾਈ ਫੋਲਡਰਾਂ ਦੀ ਵਰਤੋਂ ਅਤੇ ਹਰੇਕ ਹਮਲੇ ਤੋਂ ਬਾਅਦ ਸੰਕਰਮਣ ਦੀਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਲਈ ਇੱਕ ਸਾਧਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕੁਝ ਖਤਰਨਾਕ ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਮਾਈਕਰੋਸਾਫਟ ਅਪਡੇਟਸ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਰੱਖਿਆ ਗਿਆ ਹੈ।

ਕ੍ਰੈਡੈਂਸ਼ੀਏ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੇ ਦੇਖੇ ਗਏ ਹਮਲਿਆਂ ਵਿੱਚ, ਐਕਸਫਿਲਟਿਡ ਡੇਟਾ ਰੋਮਿੰਗ ਉਪਭੋਗਤਾ ਪ੍ਰੋਫਾਈਲਾਂ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਚੇਂਜ ਕਲਾਇੰਟਸ ਦੀਆਂ ਈਮੇਲਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।

ਇਹ ਮੰਨਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ, ਮਾਲਵੇਅਰ ਡਿਵੈਲਪਰਾਂ ਦੇ ਆਪਣੇ ਸੌਫਟਵੇਅਰ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਸੋਧਣ ਦੇ ਆਮ ਰੁਝਾਨ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਇਹ ਮੰਨਣਯੋਗ ਹੈ ਕਿ ਏਜੰਟ ਰੈਕੂਨ ਦੀਆਂ ਭਵਿੱਖ ਦੀਆਂ ਦੁਹਰਾਅ ਵਧੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਇਸ ਪ੍ਰੋਗਰਾਮ ਨਾਲ ਜੁੜੀਆਂ ਲਾਗਾਂ ਵਿਭਿੰਨ ਵਿਧੀਆਂ ਨੂੰ ਅਪਣਾ ਸਕਦੀਆਂ ਹਨ।