Agentti Racoon Backdoor

Tuntemattomat uhkatoimijat ovat aktiivisesti kohdistaneet kohteen Lähi-idän, Afrikan ja Yhdysvaltojen organisaatioihin käyttämällä uutta takaovea nimeltä Agent Racoon. Tämä .NET-kehyksessä kehitetty haittaohjelma käyttää DNS (Domain Name Service) -protokollaa piilokanavan muodostamiseen, mikä mahdollistaa monipuoliset takaoven toiminnot.

Näiden hyökkäysten uhrit tulevat eri aloilta, mukaan lukien koulutus, kiinteistö, vähittäiskauppa, voittoa tavoittelemattomat organisaatiot, televiestintä ja valtion tahot. Toistaiseksi uhkatekijän tarkka henkilöllisyys ei ole tiedossa. Hyökkäysten luonne, jolle on tunnusomaista uhrien valinta ja kehittyneiden havaitsemis- ja kiertokiertotekniikoiden käyttö, viittaa mahdolliseen kansallisvaltion mukautumiseen.

Agent Racoonin rinnalle otettu käyttöön muita haittaohjelmatyökaluja

Uhkatoimijat ovat ottaneet käyttöön lisätyökaluja, kuten Mimikatzin mukautetun version nimeltä Mimilite ja uuden apuohjelman nimeltä Ntospy. Ntospy käyttää mukautettua DLL-moduulia, joka toteuttaa verkkopalveluntarjoajan varastamaan etäpalvelimen valtuustiedot.

Hyökkääjät käyttävät yleisesti Ntospya kohdeorganisaatioissa. On kuitenkin huomionarvoista, että Mimilite-työkalu ja Agent Racoon -haittaohjelmat on löydetty yksinomaan ympäristöistä, jotka liittyvät voittoa tavoittelemattomiin ja hallitukseen liittyviin organisaatioihin.

On tärkeää korostaa, että aiemmin tunnistettu uhkaaktiviteettiklusteri on myös yhdistetty Ntospyn käyttöön. Mielenkiintoista on, että tämä vastustaja on kohdistanut kohteena kaksi organisaatiota, jotka olivat myös Agent Racoon -hyökkäyskampanjan kohteena.

Agent Racoonia käytetään kyberhyökkäyksen alkuvaiheissa

Agent Racoon toimii takaovena, jonka ensisijaisena tavoitteena on valmistella vaarantunut järjestelmä myöhempiä infektioita varten. Haittaohjelma muodostaa viestintäkanavan Command-and-Control (C2, C&C) palvelimeensa DNS (Domain Name System) -protokollan kautta. Agent Racoon toimii ensisijaisesti aikataulutettujen tehtävien kautta eikä luota tiettyihin tekniikoihin pysyvyyden varmistamiseksi. Kuitenkin sen tietoliikennesilmukoiden hyödyntäminen vuorovaikutuksessa C&C-palvelimen kanssa voi toimia tunnistustaktiikkana, jolla pyritään vähentämään verkon häiriöiden ja aktiivisuuspiikkien todennäköisyyttä.

Agent Racoonin ominaisuuksiin kuuluu komentojen suorittaminen sekä tiedostojen lataaminen ja lataaminen. Ensimmäinen voi helpottaa ylimääräisen vaarallisen sisällön tunkeutumista, kun taas jälkimmäinen mahdollistaa tietojen suodattamisen. Erityisesti nämä infektiot sisältävät ylimääräisiä havaitsemisen estotoimenpiteitä, kuten väliaikaisten kansioiden ja työkalun infektioartefaktien poistamiseen jokaisen hyökkäyksen jälkeen. Lisäksi osa haittaohjelmista on naamioitu Microsoft-päivityksiksi.

Havaituissa hyökkäyksissä, joihin liittyy tunnistetietoja kerääviä haittaohjelmia, suodatetut tiedot kattavat verkkovierailukäyttäjäprofiilit ja sähköpostit Microsoft Exchange -asiakkailta.

On ratkaisevan tärkeää tunnustaa, että ottaen huomioon yleinen suuntaus, jossa haittaohjelmien kehittäjät parantavat ohjelmistojaan ja tekniikoitaan, on todennäköistä, että Agent Racoonin tulevat iteraatiot sisältävät parannettuja ominaisuuksia ja tähän ohjelmaan liittyvät infektiot voivat käyttää erilaisia menetelmiä.