Agent Racoon Backdoor
తెలియని ముప్పు నటులు మధ్యప్రాచ్యం, ఆఫ్రికా మరియు యునైటెడ్ స్టేట్స్లోని సంస్థలను చురుకుగా లక్ష్యంగా చేసుకున్నారు, ఏజెంట్ రకూన్ అనే నవల బ్యాక్డోర్ను ఉపయోగిస్తున్నారు. ఈ మాల్వేర్, .NET ఫ్రేమ్వర్క్లో అభివృద్ధి చేయబడింది, విభిన్న బ్యాక్డోర్ ఫంక్షనాలిటీలను ఎనేబుల్ చేస్తూ, రహస్య ఛానెల్ని స్థాపించడానికి డొమైన్ నేమ్ సర్వీస్ (DNS) ప్రోటోకాల్ను ఉపయోగిస్తుంది.
ఈ దాడుల బాధితులు విద్య, రియల్ ఎస్టేట్, రిటైల్, లాభాపేక్షలేని సంస్థలు, టెలికమ్యూనికేషన్స్ మరియు ప్రభుత్వ సంస్థలతో సహా విభిన్న రంగాలకు చెందినవారు. ఇప్పటివరకు, బెదిరింపు నటుడి యొక్క ఖచ్చితమైన గుర్తింపు తెలియదు. దాడుల స్వభావం, బాధితుల ఎంపిక మరియు అధునాతన గుర్తింపు మరియు రక్షణ ఎగవేత సాంకేతికతలను ఉపయోగించడం ద్వారా వర్గీకరించబడుతుంది, ఇది దేశ-రాజ్యంతో సంభావ్య సమలేఖనాన్ని సూచిస్తుంది.
ఏజెంట్ రకూన్తో పాటు అదనపు మాల్వేర్ సాధనాలు ఉపయోగించబడ్డాయి
బెదిరింపు నటులు వారి ఆపరేషన్లో అదనపు సాధనాలను మోహరించారు, మిమిలైట్ అనే మిమికాట్జ్ యొక్క అనుకూలీకరించిన సంస్కరణ మరియు Ntospy అనే నవల యుటిలిటీ ఉన్నాయి. Ntospy కస్టమ్ DLL మాడ్యూల్ను ఉపయోగిస్తుంది, ఇది రిమోట్ సర్వర్ కోసం ఆధారాలను దొంగిలించడానికి నెట్వర్క్ ప్రొవైడర్ను అమలు చేస్తుంది.
లక్ష్యంగా చేసుకున్న సంస్థలలో, Ntospy సాధారణంగా దాడి చేసేవారిచే ఉపయోగించబడుతుంది. అయితే, Mimilite టూల్ మరియు ఏజెంట్ Racoon మాల్వేర్ ప్రత్యేకంగా లాభాపేక్షలేని మరియు ప్రభుత్వ-సంబంధిత సంస్థలతో అనుబంధించబడిన పరిసరాలలో కనుగొనబడ్డాయి.
గతంలో గుర్తించబడిన ముప్పు కార్యాచరణ క్లస్టర్ కూడా Ntospy వినియోగానికి లింక్ చేయబడిందని హైలైట్ చేయడం ముఖ్యం. ఆసక్తికరంగా, ఈ విరోధి ఏజెంట్ రకూన్ దాడి ప్రచారానికి గురైన రెండు సంస్థలను లక్ష్యంగా చేసుకున్నాడు.
ఏజెంట్ రకూన్ సైబర్టాక్ యొక్క ప్రారంభ దశలలో ఉపయోగించబడుతుంది
ఏజెంట్ రకూన్ బ్యాక్డోర్గా పనిచేస్తుంది, దాని ప్రాథమిక లక్ష్యం తదుపరి ఇన్ఫెక్షన్ల కోసం రాజీపడిన వ్యవస్థను సిద్ధం చేయడం. DNS (డొమైన్ నేమ్ సిస్టమ్) ప్రోటోకాల్ ద్వారా మాల్వేర్ దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్తో కమ్యూనికేషన్ ఛానెల్ను ఏర్పాటు చేస్తుంది. ఏజెంట్ రకూన్ ప్రాథమికంగా షెడ్యూల్ చేయబడిన టాస్క్ల ద్వారా నిర్వహిస్తారు మరియు నిలకడను నిర్ధారించడానికి నిర్దిష్ట సాంకేతికతలపై ఆధారపడదు. అయినప్పటికీ, C&C సర్వర్తో పరస్పర చర్య చేస్తున్నప్పుడు కమ్యూనికేషన్ లూప్లను ఉపయోగించడం అనేది యాంటీ-డిటెక్షన్ వ్యూహంగా ఉపయోగపడుతుంది, ఇది నెట్వర్క్ జామింగ్ మరియు యాక్టివిటీ స్పైక్ల సంభావ్యతను తగ్గించే లక్ష్యంతో ఉంటుంది.
ఏజెంట్ రకూన్ యొక్క సామర్థ్యాలలో ఆదేశాలను అమలు చేయడం మరియు ఫైల్లను అప్లోడ్ చేయడం మరియు డౌన్లోడ్ చేయడం వంటివి ఉన్నాయి. మునుపటిది అదనపు అసురక్షిత కంటెంట్ యొక్క చొరబాటును సులభతరం చేస్తుంది, రెండోది డేటా ఎక్స్ఫిల్ట్రేషన్ను ప్రారంభిస్తుంది. ముఖ్యంగా, ఈ ఇన్ఫెక్షన్లు తాత్కాలిక ఫోల్డర్లను ఉపయోగించడం మరియు ప్రతి దాడి తర్వాత ఇన్ఫెక్షన్ కళాఖండాలను క్లియర్ చేయడానికి ఒక సాధనం వంటి అదనపు యాంటీ-డిటెక్షన్ చర్యలను కలిగి ఉంటాయి. అంతేకాకుండా, కొన్ని హానికరమైన ప్రోగ్రామ్లు మైక్రోసాఫ్ట్ నవీకరణల వలె మారువేషంలో ఉంటాయి.
క్రెడెన్షియా సేకరణ మాల్వేర్తో కూడిన గమనించిన దాడులలో, మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ క్లయింట్ల నుండి రోమింగ్ యూజర్ ప్రొఫైల్లు మరియు ఇమెయిల్లను ఎక్స్ఫిల్ట్ చేయబడిన డేటా కలిగి ఉంటుంది.
మాల్వేర్ డెవలపర్లు తమ సాఫ్ట్వేర్ మరియు టెక్నిక్లను మెరుగుపరిచే సాధారణ ధోరణిని బట్టి, ఏజెంట్ Racoon యొక్క భవిష్యత్తు పునరావృత్తులు మెరుగైన సామర్థ్యాలను కలిగి ఉంటాయని మరియు ఈ ప్రోగ్రామ్తో అనుబంధించబడిన ఇన్ఫెక్షన్లు విభిన్న పద్ధతులను అవలంబించవచ్చని అంగీకరించడం చాలా ముఖ్యం.