Agent Racoon Backdoor

Άγνωστοι παράγοντες απειλών στοχεύουν ενεργά οργανισμούς στη Μέση Ανατολή, την Αφρική και τις Ηνωμένες Πολιτείες, χρησιμοποιώντας μια νέα κερκόπορτα που ονομάζεται Agent Racoon. Αυτό το κακόβουλο λογισμικό, που αναπτύχθηκε εντός του πλαισίου .NET, χρησιμοποιεί το πρωτόκολλο DNS (Domain Name Service) για να δημιουργήσει ένα κρυφό κανάλι, επιτρέποντας διάφορες λειτουργίες backdoor.

Τα θύματα αυτών των επιθέσεων προέρχονται από διάφορους τομείς, συμπεριλαμβανομένης της εκπαίδευσης, των ακινήτων, του λιανικού εμπορίου, των μη κερδοσκοπικών οργανισμών, των τηλεπικοινωνιών και των κυβερνητικών φορέων. Μέχρι στιγμής, η ακριβής ταυτότητα του δράστη της απειλής παραμένει άγνωστη. Η φύση των επιθέσεων, που χαρακτηρίζεται από την επιλογή των θυμάτων και τη χρήση εξελιγμένων τεχνικών εντοπισμού και άμυνας αποφυγής, υποδηλώνει μια πιθανή ευθυγράμμιση με ένα έθνος-κράτος.

Πρόσθετα εργαλεία κακόβουλου λογισμικού που αναπτύσσονται παράλληλα με το Agent Racoon

Οι φορείς απειλών έχουν αναπτύξει πρόσθετα εργαλεία στη λειτουργία τους, συμπεριλαμβανομένης μιας προσαρμοσμένης έκδοσης του Mimikatz με το όνομα Mimite και ενός νέου βοηθητικού προγράμματος που ονομάζεται Ntospy. Το Ntospy χρησιμοποιεί μια προσαρμοσμένη μονάδα DLL που εφαρμόζει έναν πάροχο δικτύου για να κλέβει διαπιστευτήρια για έναν απομακρυσμένο διακομιστή.

Σε όλους τους στοχευόμενους οργανισμούς, το Ntospy χρησιμοποιείται συνήθως από τους επιτιθέμενους. Ωστόσο, είναι αξιοσημείωτο ότι το εργαλείο Mimilite και το κακόβουλο λογισμικό Agent Racoon έχουν ανακαλυφθεί αποκλειστικά σε περιβάλλοντα που σχετίζονται με μη κερδοσκοπικούς και κρατικούς οργανισμούς.

Είναι σημαντικό να τονιστεί ότι ένα σύμπλεγμα δραστηριοτήτων απειλών που είχε εντοπιστεί προηγουμένως έχει επίσης συνδεθεί με τη χρήση του Ntospy. Είναι ενδιαφέρον ότι αυτός ο αντίπαλος έχει βάλει στο στόχαστρο δύο οργανώσεις που υποβλήθηκαν επίσης στην εκστρατεία επίθεσης Agent Racoon.

Το Agent Racoon χρησιμοποιείται κατά τα αρχικά στάδια της κυβερνοεπίθεσης

Το Agent Racoon λειτουργεί ως κερκόπορτα, με πρωταρχικό στόχο του να προετοιμάσει το παραβιασμένο σύστημα για επακόλουθες μολύνσεις. Το κακόβουλο λογισμικό δημιουργεί ένα κανάλι επικοινωνίας με τον διακομιστή Command-and-Control (C2, C&C) μέσω του πρωτοκόλλου DNS (Domain Name System). Το Agent Racoon λειτουργεί κυρίως μέσω προγραμματισμένων εργασιών και δεν βασίζεται σε συγκεκριμένες τεχνικές για τη διασφάλιση της επιμονής. Ωστόσο, η χρήση βρόχων επικοινωνίας κατά την αλληλεπίδραση με τον διακομιστή C&C μπορεί να χρησιμεύσει ως τακτική κατά της ανίχνευσης, με στόχο τη μείωση της πιθανότητας παρεμβολών δικτύου και αιχμών δραστηριότητας.

Οι δυνατότητες του Agent Racoon περιλαμβάνουν την εκτέλεση εντολών και τη μεταφόρτωση και λήψη αρχείων. Το πρώτο μπορεί να διευκολύνει τη διείσδυση πρόσθετου μη ασφαλούς περιεχομένου, ενώ το δεύτερο επιτρέπει τη διείσδυση δεδομένων. Συγκεκριμένα, αυτές οι λοιμώξεις ενσωματώνουν πρόσθετα μέτρα κατά της ανίχνευσης, όπως η χρήση προσωρινών φακέλων και ενός εργαλείου για την εκκαθάριση τεχνουργημάτων μόλυνσης μετά από κάθε επίθεση. Επιπλέον, ορισμένα από τα κακόβουλα προγράμματα είναι μεταμφιεσμένα ως ενημερώσεις της Microsoft.

Στις παρατηρούμενες επιθέσεις που περιλαμβάνουν συλλογή διαπιστευτηρίων κακόβουλου λογισμικού, τα εξαγόμενα δεδομένα περιλαμβάνουν προφίλ χρηστών περιαγωγής και μηνύματα ηλεκτρονικού ταχυδρομείου από πελάτες του Microsoft Exchange.

Είναι σημαντικό να αναγνωρίσουμε ότι, δεδομένης της κοινής τάσης των προγραμματιστών κακόβουλου λογισμικού να τελειοποιούν το λογισμικό και τις τεχνικές τους, είναι εύλογο ότι οι μελλοντικές επαναλήψεις του Agent Racoon θα διαθέτουν βελτιωμένες δυνατότητες και μολύνσεις που σχετίζονται με αυτό το πρόγραμμα θα μπορούσαν να υιοθετήσουν διαφορετικές μεθοδολογίες.