Racoon Backdoor ügynök

Ismeretlen fenyegetés szereplői aktívan célba vették a Közel-Keleten, Afrikában és az Egyesült Államokban működő szervezeteket, egy újszerű, Racoon ügynöknek nevezett hátsó ajtót alkalmazva. Ez a .NET keretrendszeren belül kifejlesztett rosszindulatú program a Domain Name Service (DNS) protokollt használja egy rejtett csatorna létrehozására, amely sokféle hátsó ajtó funkciót tesz lehetővé.

A támadások áldozatai különböző szektorokból származnak, beleértve az oktatást, az ingatlanokat, a kiskereskedelmet, a nonprofit szervezeteket, a távközlést és a kormányzati szerveket. Egyelőre a fenyegetés szereplőjének pontos kiléte ismeretlen. A támadások természete, amelyet az áldozatok kiválasztása, valamint a kifinomult felderítési és védelmi kijátszási technikák alkalmazása jellemez, egy nemzetállamhoz való lehetséges igazodásra utal.

További rosszindulatú programok az Agent Racoon mellett

A fenyegetés szereplői további eszközöket is bevetettek működésük során, köztük a Mimikatz testreszabott verzióját, a Mimilite-et és az Ntospy nevű új segédprogramot. Az Ntospy egyéni DLL-modult alkalmaz, amely egy hálózati szolgáltatót valósít meg a távoli kiszolgáló hitelesítő adatainak ellopására.

A megcélzott szervezetekben általában az Ntospy-t használják a támadók. Figyelemre méltó azonban, hogy a Mimilite eszközt és az Agent Racoon kártevőt kizárólag nonprofit és kormányzati szervezetekkel kapcsolatos környezetekben fedezték fel.

Fontos kiemelni, hogy egy korábban azonosított fenyegetéstevékenység-fürtöt is összekapcsoltak az Ntospy használatával. Érdekes módon ez az ellenfél két olyan szervezetet vett célba, amelyek szintén ki voltak téve a Racoon ügynök támadási kampányának.

A Racoon ügynököt a kibertámadás kezdeti szakaszában használják

Az Agent Racoon hátsó ajtóként funkcionál, és elsődleges célja a kompromittált rendszer felkészítése a későbbi fertőzésekre. A kártevő a DNS (Domain Name System) protokollon keresztül kommunikációs csatornát hoz létre Command-and-Control (C2, C&C) szerverével. A Racoon ügynök elsősorban ütemezett feladatokon keresztül működik, és nem támaszkodik meghatározott technikákra a tartósság biztosítására. A kommunikációs hurkok felhasználása azonban a C&C szerverrel való interakció során felderítés elleni taktikaként szolgálhat, amellyel csökkenteni kívánja a hálózati zavarok és az aktivitási kiugrások valószínűségét.

Az Agent Racoon képességei közé tartozik a parancsok végrehajtása, valamint a fájlok feltöltése és letöltése. Az előbbi további nem biztonságos tartalom beszivárgását, míg az utóbbi az adatok kiszűrését teszi lehetővé. Figyelemre méltó, hogy ezek a fertőzések további észlelési intézkedéseket is tartalmaznak, például ideiglenes mappákat és egy olyan eszközt, amely minden támadás után eltávolítja a fertőzések műtermékeit. Ezenkívül néhány rosszindulatú program Microsoft-frissítésnek van álcázva.

A megfigyelt, hitelesítő adatokat gyűjtő rosszindulatú programokat érintő támadások során a kiszűrt adatok magukban foglalják a roaming felhasználói profilokat és a Microsoft Exchange ügyfelektől származó e-maileket.

Alapvető fontosságú annak elismerése, hogy tekintettel a rosszindulatú programok fejlesztőinek általános tendenciájára, amelyek finomítják szoftvereiket és technikáikat, valószínű, hogy az Agent Racoon jövőbeni iterációi továbbfejlesztett képességekkel fognak rendelkezni, és a programhoz kapcsolódó fertőzések sokféle módszert alkalmazhatnak.