Agent Racoon Backdoor

Tundmatud ohus osalejad on aktiivselt sihikule võtnud organisatsioone Lähis-Idas, Aafrikas ja Ameerika Ühendriikides, kasutades uudset tagaust nimega Agent Racoon. See .NET-i raamistikus välja töötatud pahavara kasutab varjatud kanali loomiseks domeeninimeteenuse (DNS) protokolli, mis võimaldab erinevaid tagaukse funktsioone.

Nende rünnakute ohvrid on pärit erinevatest sektoritest, sealhulgas haridusest, kinnisvarast, jaemüügist, mittetulundusühingutest, telekommunikatsioonist ja valitsusasutustest. Seni on ohus osaleja täpne isik teadmata. Rünnakute olemus, mida iseloomustab ohvrite valimine ning keerukate avastamis- ja kaitsest kõrvalehoidmise tehnikate kasutamine, viitab võimalikule ühtlustumisele rahvusriigiga.

Agent Racooni kõrval on juurutatud täiendavad pahavara tööriistad

Ohutegijad on oma tegevuses kasutusele võtnud lisatööriistu, sealhulgas Mimikatzi kohandatud versiooni nimega Mimilite ja uudset utiliiti nimega Ntospy. Ntospy kasutab kohandatud DLL-moodulit, mis rakendab võrgupakkujat kaugserveri mandaatide röövimiseks.

Sihtorganisatsioonides kasutavad ründajad tavaliselt Ntospyt. Siiski on tähelepanuväärne, et Mimilite'i tööriist ja Agent Racooni pahavara on avastatud eranditult mittetulunduslike ja valitsusega seotud organisatsioonidega seotud keskkondadest.

Oluline on rõhutada, et Ntospy kasutamisega on seostatud ka varem tuvastatud ohutegevuse klaster. Huvitaval kombel on see vastane võtnud sihikule kaks organisatsiooni, mis olid samuti allutatud agent Racooni rünnakukampaaniale.

Agent Racoonit kasutatakse küberrünnaku algfaasis

Agent Racoon toimib tagauksena, mille peamine eesmärk on valmistada kahjustatud süsteem ette järgnevateks nakkusteks. Pahavara loob suhtluskanali oma Command-and-Control (C2, C&C) serveriga DNS (Domain Name System) protokolli kaudu. Agent Racoon tegutseb peamiselt ajastatud ülesannete kaudu ega tugine püsivuse tagamiseks kindlatele tehnikatele. Kuid selle sidesilmuste kasutamine C&C-serveriga suhtlemisel võib toimida tuvastamisvastase taktikana, mille eesmärk on vähendada võrgu ummistumise ja aktiivsuse hüpete tõenäosust.

Agent Racooni võimalused hõlmavad käskude täitmist ning failide üles- ja allalaadimist. Esimene võib hõlbustada täiendava ebaturvalise sisu sisseimbumist, teine aga võimaldab andmete väljafiltreerimist. Nimelt hõlmavad need infektsioonid täiendavaid tuvastamisvastaseid meetmeid, nagu ajutiste kaustade kasutamine ja tööriist infektsioonide artefaktide eemaldamiseks pärast iga rünnakut. Lisaks on mõned pahatahtlikud programmid maskeeritud Microsofti värskendusteks.

Täheldatud rünnete puhul, mis hõlmavad mandaadi kogumise pahavara, hõlmavad väljafiltreeritud andmed rändluskasutajate profiile ja Microsoft Exchange'i klientide e-kirju.

On ülioluline tunnistada, et arvestades levinud suundumust, mille kohaselt pahavara arendajad oma tarkvara ja tehnikaid viimistlevad, on usutav, et Agent Racooni tulevased iteratsioonid sisaldavad täiustatud võimalusi ja selle programmiga seotud nakkused võivad kasutada erinevaid metoodikaid.