Agent Racoon Backdoor

తెలియని ముప్పు నటులు మధ్యప్రాచ్యం, ఆఫ్రికా మరియు యునైటెడ్ స్టేట్స్‌లోని సంస్థలను చురుకుగా లక్ష్యంగా చేసుకున్నారు, ఏజెంట్ రకూన్ అనే నవల బ్యాక్‌డోర్‌ను ఉపయోగిస్తున్నారు. ఈ మాల్వేర్, .NET ఫ్రేమ్‌వర్క్‌లో అభివృద్ధి చేయబడింది, విభిన్న బ్యాక్‌డోర్ ఫంక్షనాలిటీలను ఎనేబుల్ చేస్తూ, రహస్య ఛానెల్‌ని స్థాపించడానికి డొమైన్ నేమ్ సర్వీస్ (DNS) ప్రోటోకాల్‌ను ఉపయోగిస్తుంది.

ఈ దాడుల బాధితులు విద్య, రియల్ ఎస్టేట్, రిటైల్, లాభాపేక్షలేని సంస్థలు, టెలికమ్యూనికేషన్స్ మరియు ప్రభుత్వ సంస్థలతో సహా విభిన్న రంగాలకు చెందినవారు. ఇప్పటివరకు, బెదిరింపు నటుడి యొక్క ఖచ్చితమైన గుర్తింపు తెలియదు. దాడుల స్వభావం, బాధితుల ఎంపిక మరియు అధునాతన గుర్తింపు మరియు రక్షణ ఎగవేత సాంకేతికతలను ఉపయోగించడం ద్వారా వర్గీకరించబడుతుంది, ఇది దేశ-రాజ్యంతో సంభావ్య సమలేఖనాన్ని సూచిస్తుంది.

ఏజెంట్ రకూన్‌తో పాటు అదనపు మాల్వేర్ సాధనాలు ఉపయోగించబడ్డాయి

బెదిరింపు నటులు వారి ఆపరేషన్‌లో అదనపు సాధనాలను మోహరించారు, మిమిలైట్ అనే మిమికాట్జ్ యొక్క అనుకూలీకరించిన సంస్కరణ మరియు Ntospy అనే నవల యుటిలిటీ ఉన్నాయి. Ntospy కస్టమ్ DLL మాడ్యూల్‌ను ఉపయోగిస్తుంది, ఇది రిమోట్ సర్వర్ కోసం ఆధారాలను దొంగిలించడానికి నెట్‌వర్క్ ప్రొవైడర్‌ను అమలు చేస్తుంది.

లక్ష్యంగా చేసుకున్న సంస్థలలో, Ntospy సాధారణంగా దాడి చేసేవారిచే ఉపయోగించబడుతుంది. అయితే, Mimilite టూల్ మరియు ఏజెంట్ Racoon మాల్వేర్ ప్రత్యేకంగా లాభాపేక్షలేని మరియు ప్రభుత్వ-సంబంధిత సంస్థలతో అనుబంధించబడిన పరిసరాలలో కనుగొనబడ్డాయి.

గతంలో గుర్తించబడిన ముప్పు కార్యాచరణ క్లస్టర్ కూడా Ntospy వినియోగానికి లింక్ చేయబడిందని హైలైట్ చేయడం ముఖ్యం. ఆసక్తికరంగా, ఈ విరోధి ఏజెంట్ రకూన్ దాడి ప్రచారానికి గురైన రెండు సంస్థలను లక్ష్యంగా చేసుకున్నాడు.

ఏజెంట్ రకూన్ సైబర్‌టాక్ యొక్క ప్రారంభ దశలలో ఉపయోగించబడుతుంది

ఏజెంట్ రకూన్ బ్యాక్‌డోర్‌గా పనిచేస్తుంది, దాని ప్రాథమిక లక్ష్యం తదుపరి ఇన్‌ఫెక్షన్‌ల కోసం రాజీపడిన వ్యవస్థను సిద్ధం చేయడం. DNS (డొమైన్ నేమ్ సిస్టమ్) ప్రోటోకాల్ ద్వారా మాల్వేర్ దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌తో కమ్యూనికేషన్ ఛానెల్‌ను ఏర్పాటు చేస్తుంది. ఏజెంట్ రకూన్ ప్రాథమికంగా షెడ్యూల్ చేయబడిన టాస్క్‌ల ద్వారా నిర్వహిస్తారు మరియు నిలకడను నిర్ధారించడానికి నిర్దిష్ట సాంకేతికతలపై ఆధారపడదు. అయినప్పటికీ, C&C సర్వర్‌తో పరస్పర చర్య చేస్తున్నప్పుడు కమ్యూనికేషన్ లూప్‌లను ఉపయోగించడం అనేది యాంటీ-డిటెక్షన్ వ్యూహంగా ఉపయోగపడుతుంది, ఇది నెట్‌వర్క్ జామింగ్ మరియు యాక్టివిటీ స్పైక్‌ల సంభావ్యతను తగ్గించే లక్ష్యంతో ఉంటుంది.

ఏజెంట్ రకూన్ యొక్క సామర్థ్యాలలో ఆదేశాలను అమలు చేయడం మరియు ఫైల్‌లను అప్‌లోడ్ చేయడం మరియు డౌన్‌లోడ్ చేయడం వంటివి ఉన్నాయి. మునుపటిది అదనపు అసురక్షిత కంటెంట్ యొక్క చొరబాటును సులభతరం చేస్తుంది, రెండోది డేటా ఎక్స్‌ఫిల్ట్రేషన్‌ను ప్రారంభిస్తుంది. ముఖ్యంగా, ఈ ఇన్ఫెక్షన్‌లు తాత్కాలిక ఫోల్డర్‌లను ఉపయోగించడం మరియు ప్రతి దాడి తర్వాత ఇన్‌ఫెక్షన్ కళాఖండాలను క్లియర్ చేయడానికి ఒక సాధనం వంటి అదనపు యాంటీ-డిటెక్షన్ చర్యలను కలిగి ఉంటాయి. అంతేకాకుండా, కొన్ని హానికరమైన ప్రోగ్రామ్‌లు మైక్రోసాఫ్ట్ నవీకరణల వలె మారువేషంలో ఉంటాయి.

క్రెడెన్షియా సేకరణ మాల్వేర్‌తో కూడిన గమనించిన దాడులలో, మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ క్లయింట్‌ల నుండి రోమింగ్ యూజర్ ప్రొఫైల్‌లు మరియు ఇమెయిల్‌లను ఎక్స్‌ఫిల్ట్ చేయబడిన డేటా కలిగి ఉంటుంది.

మాల్వేర్ డెవలపర్‌లు తమ సాఫ్ట్‌వేర్ మరియు టెక్నిక్‌లను మెరుగుపరిచే సాధారణ ధోరణిని బట్టి, ఏజెంట్ Racoon యొక్క భవిష్యత్తు పునరావృత్తులు మెరుగైన సామర్థ్యాలను కలిగి ఉంటాయని మరియు ఈ ప్రోగ్రామ్‌తో అనుబంధించబడిన ఇన్‌ఫెక్షన్‌లు విభిన్న పద్ధతులను అవలంబించవచ్చని అంగీకరించడం చాలా ముఖ్యం.