Ahente Racoon Backdoor

Aktibong tina-target ng mga hindi kilalang banta ang mga organisasyon sa Middle East, Africa, at United States, na gumagamit ng nobelang backdoor na pinangalanang Agent Racoon. Ang malware na ito, na binuo sa loob ng .NET framework, ay gumagamit ng Domain Name Service (DNS) protocol upang magtatag ng isang nakatagong channel, na nagpapagana ng magkakaibang mga functionality sa backdoor.

Ang mga biktima ng mga pag-atake na ito ay nagmula sa magkakaibang sektor, kabilang ang edukasyon, real estate, retail, nonprofit na organisasyon, telekomunikasyon at mga entity ng gobyerno. Sa ngayon, ang eksaktong pagkakakilanlan ng aktor ng pagbabanta ay nananatiling hindi alam. Ang likas na katangian ng mga pag-atake, na nailalarawan sa pamamagitan ng pagpili ng mga biktima at ang paggamit ng mga sopistikadong pamamaraan ng pagtuklas at pag-iwas sa pagtatanggol, ay nagmumungkahi ng potensyal na pagkakahanay sa isang bansang estado.

Karagdagang Mga Tool sa Malware na Na-deploy Kasabay ng Agent Racoon

Ang mga aktor ng banta ay nag-deploy ng mga karagdagang tool sa kanilang operasyon, kabilang ang isang customized na bersyon ng Mimikatz na pinangalanang Mimilite at isang novel utility na tinatawag na Ntospy. Gumagamit si Ntospy ng custom na DLL module na nagpapatupad ng network provider para kunin ang mga kredensyal para sa isang malayuang server.

Sa kabuuan ng mga target na organisasyon, ang Ntospy ay karaniwang ginagamit ng mga umaatake. Gayunpaman, kapansin-pansin na ang Mimilite tool at ang Agent Racoon malware ay eksklusibong natuklasan sa mga kapaligirang nauugnay sa nonprofit at mga organisasyong nauugnay sa gobyerno.

Mahalagang i-highlight na ang isang dating natukoy na cluster ng aktibidad ng pagbabanta ay na-link din sa paggamit ng Ntospy. Kapansin-pansin, ang kalaban na ito ay nag-target ng dalawang organisasyon na sumailalim din sa kampanya ng pag-atake ng Agent Racoon.

Ang Agent Racoon ay Ginagamit sa Mga Paunang Yugto ng Cyberattack

Ang Agent Racoon ay gumaganap bilang isang backdoor, na ang pangunahing layunin nito ay ihanda ang nakompromisong sistema para sa mga kasunod na impeksyon. Ang malware ay nagtatatag ng channel ng komunikasyon kasama ang Command-and-Control (C2, C&C) server nito sa pamamagitan ng DNS (Domain Name System) protocol. Pangunahing nagpapatakbo ang Agent Racoon sa pamamagitan ng mga naka-iskedyul na gawain at hindi umaasa sa mga partikular na pamamaraan para matiyak ang pagtitiyaga. Gayunpaman, ang paggamit nito ng mga loop ng komunikasyon kapag nakikipag-ugnayan sa server ng C&C ay maaaring magsilbi bilang isang taktika na anti-detection, na naglalayong bawasan ang posibilidad ng network jamming at mga spike ng aktibidad.

Kasama sa mga kakayahan ng Agent Racoon ang pagsasagawa ng mga utos at pag-upload at pag-download ng mga file. Ang una ay maaaring mapadali ang pagpasok ng karagdagang hindi ligtas na nilalaman, habang ang huli ay nagbibigay-daan sa pag-exfiltrate ng data. Kapansin-pansin, ang mga impeksyong ito ay nagsasama ng karagdagang mga hakbang laban sa pagtuklas, tulad ng paggamit ng mga pansamantalang folder at isang tool upang i-clear ang mga artifact ng impeksyon pagkatapos ng bawat pag-atake. Bukod dito, ang ilan sa mga nakakahamak na programa ay itinago bilang mga update ng Microsoft.

Sa mga naobserbahang pag-atake na kinasasangkutan ng kredensiya sa pagkolekta ng malware, ang na-exfiltrate na data ay sumasaklaw sa mga roaming na profile ng user at mga email mula sa mga kliyente ng Microsoft Exchange.

Napakahalagang kilalanin na, dahil sa karaniwang kalakaran ng mga developer ng malware na pinipino ang kanilang software at mga diskarte, posible na ang mga pag-ulit sa hinaharap ng Agent Racoon ay magtatampok ng mga pinahusay na kakayahan at mga impeksyong nauugnay sa program na ito ay maaaring gumamit ng magkakaibang pamamaraan.