Agent Racoon Backdoor

अज्ञात खतरा अभिनेताहरूले सक्रिय रूपमा मध्य पूर्व, अफ्रिका, र संयुक्त राज्य अमेरिकामा संगठनहरूलाई लक्षित गर्दै आएका छन्, एजेन्ट रेकुन नामको उपन्यास ब्याकडोरलाई प्रयोग गर्दै। यो मालवेयर, .NET ढाँचा भित्र विकसित भएको, डोमेन नाम सेवा (DNS) प्रोटोकल को उपयोग लुकाइएको च्यानल स्थापना गर्न को लागी, विभिन्न ब्याकडोर कार्यात्मकताहरु सक्षम पार्दै।

यी आक्रमणका पीडितहरू शिक्षा, घरजग्गा, खुद्रा, गैर-नाफामुखी संस्थाहरू, दूरसञ्चार र सरकारी संस्थाहरू लगायत विभिन्न क्षेत्रहरूबाट आउँछन्। अहिले सम्म, धम्की अभिनेता को सही पहिचान अज्ञात छ। आक्रमणको प्रकृति, पीडितहरूको छनोट र परिष्कृत पत्ता लगाउने र रक्षा चोरी प्रविधिहरूको प्रयोगद्वारा विशेषताले राष्ट्र-राज्यसँग सम्भावित पङ्क्तिबद्धताको सुझाव दिन्छ।

अतिरिक्त मालवेयर उपकरणहरू एजेन्ट Racoon सँगसँगै तैनात

धम्की दिने अभिनेताहरूले आफ्नो अपरेशनमा अतिरिक्त उपकरणहरू प्रयोग गरेका छन्, जसमा Mimikatz नामको Mimilite को अनुकूलित संस्करण र Ntospy भनिने उपन्यास उपयोगिता समावेश छ। Ntospy ले एक कस्टम DLL मोड्युललाई रोजगार दिन्छ जसले नेटवर्क प्रदायकलाई रिमोट सर्भरको लागि प्रमाणहरू चुहाउन लागू गर्दछ।

लक्षित संगठनहरूमा, Ntospy सामान्यतया आक्रमणकारीहरू द्वारा प्रयोग गरिन्छ। यद्यपि, यो उल्लेखनीय छ कि Mimilite उपकरण र Agent Racoon मालवेयर विशेष रूपमा गैर-नाफामुखी र सरकारी-सम्बन्धित संस्थाहरूसँग सम्बन्धित वातावरणहरूमा फेला परेको छ।

यो हाइलाइट गर्न महत्त्वपूर्ण छ कि पहिले पहिचान गरिएको खतरा गतिविधि क्लस्टर पनि Ntospy को प्रयोगसँग जोडिएको छ। चाखलाग्दो कुरा के छ भने, यस विरोधीले दुई संस्थाहरूलाई लक्षित गरेको छ जुन एजेन्ट रेकुन आक्रमण अभियानको अधीनमा थिए।

एजेन्ट रेकुन साइबर आक्रमणको प्रारम्भिक चरणहरूमा प्रयोग गरिन्छ

एजेन्ट रेकुनले पछाडिको ढोकाको रूपमा कार्य गर्दछ, यसको प्राथमिक उद्देश्य पछिको संक्रमणहरूको लागि सम्झौता प्रणाली तयार गर्नु हो। मालवेयरले DNS (डोमेन नेम सिस्टम) प्रोटोकल मार्फत आफ्नो कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरसँग सञ्चार च्यानल स्थापना गर्दछ। एजेन्ट Racoon मुख्य रूपमा निर्धारित कार्यहरू मार्फत सञ्चालन गर्दछ र दृढता सुनिश्चित गर्न विशेष प्रविधिहरूमा भर पर्दैन। यद्यपि, C&C सर्भरसँग अन्तरक्रिया गर्दा सञ्चार लूपहरूको यसको उपयोगले नेटवर्क जामिङ र गतिविधि स्पाइकको सम्भावनालाई कम गर्ने लक्ष्य राखेर पत्ता लगाउने विरोधी रणनीतिको रूपमा काम गर्न सक्छ।

एजेन्ट रेकुनका क्षमताहरूमा आदेशहरू कार्यान्वयन गर्ने र फाइलहरू अपलोड गर्ने र डाउनलोड गर्ने समावेश छ। अघिल्लोले अतिरिक्त असुरक्षित सामग्रीको घुसपैठलाई सहज बनाउन सक्छ, जबकि पछिल्लोले डेटा निष्कासन सक्षम गर्दछ। विशेष रूपमा, यी संक्रमणहरूले थप पत्ता लगाउने उपायहरू समावेश गर्दछ, जस्तै अस्थायी फोल्डरहरूको प्रयोग र प्रत्येक आक्रमण पछि संक्रमण कलाकृतिहरू खाली गर्न उपकरण। यसबाहेक, केहि दुर्भावनापूर्ण प्रोग्रामहरू माइक्रोसफ्ट अपडेटको रूपमा भेषमा छन्।

क्रेडेन्सिया सङ्कलन मालवेयर समावेश देखाइएको आक्रमणहरूमा, एक्सफिल्टेड डाटा रोमिङ प्रयोगकर्ता प्रोफाइल र माइक्रोसफ्ट एक्सचेन्ज क्लाइन्टहरूबाट इमेलहरू समावेश गर्दछ।

यो स्वीकार गर्न महत्त्वपूर्ण छ कि, मालवेयर विकासकर्ताहरूले तिनीहरूको सफ्टवेयर र प्रविधिहरू परिष्कृत गर्ने सामान्य प्रवृत्तिलाई ध्यानमा राख्दै, यो सम्भव छ कि एजेन्ट रेकुनको भविष्यका पुनरावृत्तिहरूले विस्तारित क्षमताहरू र यस कार्यक्रमसँग सम्बन्धित संक्रमणहरूले विविध विधिहरू अपनाउन सक्छन्।