Agent Racoon Backdoor

Nežinomi grėsmės veikėjai aktyviai nusitaikė į organizacijas Artimuosiuose Rytuose, Afrikoje ir Jungtinėse Amerikos Valstijose, pasitelkdami naujas užpakalines duris, pavadintas Agent Racoon. Ši kenkėjiška programa, sukurta .NET sistemoje, naudoja Domain Name Service (DNS) protokolą, kad sukurtų paslėptą kanalą, įgalinantį įvairias užpakalinių durų funkcijas.

Šių išpuolių aukos yra iš įvairių sektorių, įskaitant švietimą, nekilnojamąjį turtą, mažmeninę prekybą, ne pelno organizacijas, telekomunikacijas ir valdžios institucijas. Kol kas tiksli grėsmės veikėjo tapatybė nežinoma. Išpuolių pobūdis, kuriam būdinga aukų atranka ir sudėtingų aptikimo bei gynybos vengimo metodų taikymas, rodo galimą susiliejimą su nacionaline valstybe.

Papildomi kenkėjiškų programų įrankiai, įdiegti kartu su agentu Racoon

Grėsmės veikėjai savo veikloje panaudojo papildomų įrankių, įskaitant pritaikytą Mimikatz versiją, pavadintą Mimilite, ir naują priemonę, vadinamą Ntospy. „Ntospy“ naudoja pasirinktinį DLL modulį, kuris įdiegia tinklo teikėją, kad pavogtų nuotolinio serverio kredencialus.

Visose tikslinėse organizacijose užpuolikai dažniausiai naudoja Ntospy. Tačiau pažymėtina, kad „Mimilite“ įrankis ir „Agent Racoon“ kenkėjiška programa buvo aptikta tik aplinkoje, susijusioje su ne pelno ir su vyriausybe susijusiomis organizacijomis.

Svarbu pabrėžti, kad anksčiau nustatyta grėsmės veiklos grupė taip pat buvo susieta su Ntospy naudojimu. Įdomu tai, kad šis priešininkas nusitaikė į dvi organizacijas, kurios taip pat buvo patyrusios agento Racoon atakos kampaniją.

Agentas meškėnas naudojamas pradiniuose kibernetinės atakos etapuose

Agentas Racoon veikia kaip užpakalinės durys, kurių pagrindinis tikslas yra paruošti pažeistą sistemą vėlesnėms infekcijoms. Kenkėjiška programa sukuria ryšio kanalą su savo komandų ir valdymo (C2, C&C) serveriu per DNS (domeno vardų sistemos) protokolą. Agentas „Racoon“ visų pirma dirba atlikdamas suplanuotas užduotis ir nesiremia konkrečiomis technikomis, užtikrinančiomis atkaklumą. Tačiau ryšio kilpų panaudojimas sąveikaujant su C&C serveriu gali būti naudojama kaip apsaugos nuo aptikimo taktika, kuria siekiama sumažinti tinklo strigimo ir aktyvumo šuolio tikimybę.

Agent Racoon galimybės apima komandų vykdymą ir failų įkėlimą bei atsisiuntimą. Pirmoji gali palengvinti papildomo nesaugaus turinio įsiskverbimą, o antroji įgalina duomenų išfiltravimą. Pažymėtina, kad šios infekcijos apima papildomas apsaugos nuo aptikimo priemones, pvz., laikinus aplankus ir įrankį infekcijos artefaktams išvalyti po kiekvieno išpuolio. Be to, kai kurios kenkėjiškos programos yra užmaskuotos kaip „Microsoft“ naujinimai.

Stebėtų atakų, susijusių su kredencialais renkančiomis kenkėjiškomis programomis, metu išfiltruoti duomenys apima tarptinklinio ryšio vartotojų profilius ir el. laiškus iš Microsoft Exchange klientų.

Labai svarbu pripažinti, kad, atsižvelgiant į įprastą kenkėjiškų programų kūrėjų tendenciją tobulinti savo programinę įrangą ir metodus, tikėtina, kad būsimos Agent Racoon iteracijos pasižymės patobulintomis galimybėmis, o su šia programa susijusios infekcijos gali taikyti įvairias metodikas.