ភ្នាក់ងារ Racoon Backdoor

តួអង្គគម្រាមកំហែងដែលមិនស្គាល់បានកំពុងកំណត់គោលដៅយ៉ាងសកម្មដល់អង្គការនានានៅមជ្ឈិមបូព៌ា អាហ្រ្វិក និងសហរដ្ឋអាមេរិក ដោយប្រើប្រាស់កម្មវិធីប្រលោមលោកមួយដែលមានឈ្មោះថា Agent Racoon ។ មេរោគនេះដែលត្រូវបានបង្កើតឡើងក្នុងក្របខ័ណ្ឌ .NET ប្រើប្រាស់ពិធីការឈ្មោះ Domain Name Service (DNS) ដើម្បីបង្កើតបណ្តាញលាក់បាំង ដែលបើកដំណើរការមុខងារ backdoor ចម្រុះ។

ជនរងគ្រោះនៃការវាយប្រហារទាំងនេះមកពីវិស័យចម្រុះ រួមមាន ការអប់រំ អចលនទ្រព្យ ការលក់រាយ អង្គការមិនរកប្រាក់ចំណេញ ទូរគមនាគមន៍ និងអង្គភាពរដ្ឋាភិបាល។ រហូត​មក​ដល់​ពេល​នេះ គេ​នៅ​មិន​ទាន់​ដឹង​អត្តសញ្ញាណ​ច្បាស់​លាស់​របស់​អ្នក​គំរាម​កំហែង​នៅ​ឡើយ។ ធម្មជាតិនៃការវាយប្រហារ ដែលកំណត់លក្ខណៈដោយការជ្រើសរើសជនរងគ្រោះ និងការប្រើប្រាស់ការរកឃើញដ៏ទំនើប និងបច្ចេកទេសគេចពីការការពារ បង្ហាញពីការតម្រឹមសក្តានុពលជាមួយរដ្ឋជាតិ។

ឧបករណ៍ Malware បន្ថែមត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាមួយភ្នាក់ងារ Racoon

តួអង្គគំរាមកំហែងបានដាក់ពង្រាយឧបករណ៍បន្ថែមនៅក្នុងប្រតិបត្តិការរបស់ពួកគេ រួមទាំងកំណែផ្ទាល់ខ្លួនរបស់ Mimikatz ដែលមានឈ្មោះថា Mimilite និងឧបករណ៍ប្រើប្រាស់ប្រលោមលោកហៅថា Ntospy ។ Ntospy ប្រើម៉ូឌុល DLL ផ្ទាល់ខ្លួនដែលអនុវត្តអ្នកផ្តល់បណ្តាញដើម្បីលួចព័ត៌មានសម្ងាត់សម្រាប់ម៉ាស៊ីនមេពីចម្ងាយ។

នៅទូទាំងអង្គការគោលដៅ Ntospy ត្រូវបានប្រើប្រាស់ជាទូទៅដោយអ្នកវាយប្រហារ។ ទោះជាយ៉ាងណាក៏ដោយ វាគួរអោយកត់សម្គាល់ថាឧបករណ៍ Mimilite និងមេរោគ Agent Racoon malware ត្រូវបានរកឃើញទាំងស្រុងនៅក្នុងបរិស្ថានដែលទាក់ទងនឹងអង្គការមិនរកប្រាក់ចំណេញ និងអង្គការដែលទាក់ទងនឹងរដ្ឋាភិបាល។

វាមានសារៈសំខាន់ណាស់ក្នុងការគូសបញ្ជាក់ថា ចង្កោមសកម្មភាពគំរាមកំហែងដែលបានកំណត់ពីមុនក៏ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការប្រើប្រាស់ Ntospy ផងដែរ។ គួរឱ្យចាប់អារម្មណ៍ សត្រូវនេះបានកំណត់គោលដៅលើអង្គការចំនួនពីរ ដែលរងការវាយប្រហារដោយភ្នាក់ងារ Racoon ផងដែរ។

ភ្នាក់ងារ Racoon ត្រូវបានប្រើក្នុងដំណាក់កាលដំបូងនៃការវាយប្រហារតាមអ៊ីនធឺណិត

ភ្នាក់ងារ Racoon មានមុខងារជា backdoor ជាមួយនឹងគោលបំណងចម្បងរបស់វាគឺដើម្បីរៀបចំប្រព័ន្ធសម្របសម្រួលសម្រាប់ការឆ្លងជាបន្តបន្ទាប់។ មេរោគនេះបង្កើតបណ្តាញទំនាក់ទំនងជាមួយនឹងម៉ាស៊ីនមេ Command-and-Control (C2, C&C) តាមរយៈ DNS (Domain Name System) protocol។ ភ្នាក់ងារ Racoon ប្រតិបត្តិការជាចម្បងតាមរយៈកិច្ចការដែលបានកំណត់ពេល និងមិនពឹងផ្អែកលើបច្ចេកទេសជាក់លាក់សម្រាប់ធានាការតស៊ូ។ ទោះជាយ៉ាងណាក៏ដោយ ការប្រើប្រាស់រង្វិលជុំទំនាក់ទំនងរបស់វានៅពេលធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេ C&C អាចដើរតួជាយុទ្ធសាស្ត្រប្រឆាំងនឹងការរកឃើញ ក្នុងគោលបំណងកាត់បន្ថយលទ្ធភាពនៃការស្ទះបណ្តាញ និងការបង្កើនសកម្មភាព។

សមត្ថភាពរបស់ភ្នាក់ងារ Racoon រួមមានការប្រតិបត្តិពាក្យបញ្ជា និងការបង្ហោះ និងទាញយកឯកសារ។ អតីតអាចសម្រួលដល់ការជ្រៀតចូលនៃមាតិកាដែលមិនមានសុវត្ថិភាពបន្ថែម ខណៈពេលដែលក្រោយមកទៀតអាចឱ្យការទាញយកទិន្នន័យ។ គួរកត់សម្គាល់ថាការឆ្លងទាំងនេះរួមបញ្ចូលវិធានការប្រឆាំងនឹងការរកឃើញបន្ថែម ដូចជាការប្រើប្រាស់ថតបណ្តោះអាសន្ន និងឧបករណ៍ដើម្បីសម្អាតវត្ថុបុរាណនៃការឆ្លងបន្ទាប់ពីការវាយប្រហារនីមួយៗ។ លើសពីនេះទៅទៀត កម្មវិធីព្យាបាទមួយចំនួនត្រូវបានក្លែងបន្លំជាការធ្វើបច្ចុប្បន្នភាពរបស់ Microsoft ។

នៅក្នុងការវាយប្រហារដែលបានសង្កេតឃើញពាក់ព័ន្ធនឹងការប្រមូលមេរោគ credentiacollecting ទិន្នន័យដែលត្រូវបានដកចេញរួមមានទម្រង់អ្នកប្រើប្រាស់រ៉ូមីង និងអ៊ីមែលពីអតិថិជន Microsoft Exchange ។

វាមានសារៈសំខាន់ណាស់ក្នុងការទទួលស្គាល់ថា ដោយសារនិន្នាការទូទៅនៃអ្នកបង្កើតមេរោគក្នុងការកែលម្អកម្មវិធី និងបច្ចេកទេសរបស់ពួកគេ វាអាចទៅរួចដែលថាការបន្តនៃភ្នាក់ងារ Racoon នាពេលអនាគតនឹងបង្ហាញពីសមត្ថភាពប្រសើរឡើង និងការឆ្លងដែលទាក់ទងនឹងកម្មវិធីនេះអាចទទួលយកវិធីសាស្រ្តចម្រុះ។