Agent Racoon Backdoor

Neznani akterji groženj aktivno ciljajo na organizacije na Bližnjem vzhodu, v Afriki in Združenih državah, pri čemer uporabljajo nova stranska vrata, imenovana Agent Racoon. Ta zlonamerna programska oprema, razvita v ogrodju .NET, uporablja protokol storitve domenskih imen (DNS) za vzpostavitev prikritega kanala, ki omogoča različne funkcije zakulisnih vrat.

Žrtve teh napadov prihajajo iz različnih sektorjev, vključno z izobraževanjem, nepremičninami, maloprodajo, neprofitnimi organizacijami, telekomunikacijami in vladnimi subjekti. Zaenkrat natančna identiteta povzročitelja grožnje ostaja neznana. Narava napadov, za katero je značilna izbira žrtev in uporaba sofisticiranih tehnik odkrivanja in obrambnega izogibanja, nakazuje potencialno povezovanje z nacionalno državo.

Dodatna orodja za zlonamerno programsko opremo, nameščena poleg Agent Racoon

Akterji groženj so pri svojem delovanju uporabili dodatna orodja, vključno s prilagojeno različico Mimikatza z imenom Mimilite in novim pripomočkom, imenovanim Ntospy. Ntospy uporablja modul DLL po meri, ki izvaja ponudnika omrežja za krajo poverilnic za oddaljeni strežnik.

V ciljnih organizacijah napadalci običajno uporabljajo Ntospy. Vendar je treba omeniti, da sta bila orodje Mimilite in zlonamerna programska oprema Agent Racoon odkrita izključno v okoljih, povezanih z neprofitnimi in vladnimi organizacijami.

Pomembno je poudariti, da je bila predhodno ugotovljena grožnja dejavnosti povezana tudi z uporabo Ntospy. Zanimivo je, da je ta nasprotnik ciljal na dve organizaciji, ki sta bili prav tako izpostavljeni kampanji napada Agent Racoon.

Agent Racoon se uporablja v začetnih fazah kibernetskega napada

Agent Racoon deluje kot stranska vrata, njegov glavni cilj pa je pripraviti ogroženi sistem za nadaljnje okužbe. Zlonamerna programska oprema vzpostavi komunikacijski kanal s svojim strežnikom Command-and-Control (C2, C&C) prek protokola DNS (Domain Name System). Agent Racoon primarno deluje prek načrtovanih nalog in se ne zanaša na posebne tehnike za zagotavljanje vztrajnosti. Vendar pa njegova uporaba komunikacijskih zank pri interakciji s strežnikom C&C lahko služi kot taktika proti zaznavanju, katere cilj je zmanjšati verjetnost motenja omrežja in skokov dejavnosti.

Zmogljivosti Agent Racoon vključujejo izvajanje ukazov ter nalaganje in prenašanje datotek. Prvi lahko olajša infiltracijo dodatne nevarne vsebine, medtem ko drugi omogoča izločanje podatkov. Predvsem te okužbe vključujejo dodatne ukrepe proti odkrivanju, kot je uporaba začasnih map in orodje za brisanje artefaktov okužbe po vsakem napadu. Poleg tega so nekateri zlonamerni programi prikriti kot Microsoftove posodobitve.

V opaženih napadih, ki vključujejo zlonamerno programsko opremo za zbiranje poverilnic, izločeni podatki vključujejo gostujoče uporabniške profile in e-pošto odjemalcev Microsoft Exchange.

Ključnega pomena je priznati, da je glede na skupni trend razvijalcev zlonamerne programske opreme, ki izpopolnjujejo svojo programsko opremo in tehnike, verjetno, da bodo prihodnje ponovitve Agent Racoon vsebovale izboljšane zmogljivosti, okužbe, povezane s tem programom, pa bi lahko sprejele različne metodologije.