Agent Racoon Backdoor

Aktorë të panjohur të kërcënimit kanë shënjestruar në mënyrë aktive organizatat në Lindjen e Mesme, Afrikë dhe Shtetet e Bashkuara, duke përdorur një prapaskenë romane të quajtur Agent Racoon. Ky malware, i zhvilluar brenda kornizës .NET, përdor protokollin e Shërbimit të Emrave të Domainit (DNS) për të krijuar një kanal të fshehtë, duke mundësuar funksione të ndryshme të prapaskenave.

Viktimat e këtyre sulmeve vijnë nga sektorë të ndryshëm, duke përfshirë arsimin, pasuritë e paluajtshme, shitjen me pakicë, organizatat jofitimprurëse, telekomunikacionin dhe entitetet qeveritare. Deri më tani, identiteti i saktë i aktorit të kërcënimit mbetet i panjohur. Natyra e sulmeve, e karakterizuar nga përzgjedhja e viktimave dhe përdorimi i teknikave të sofistikuara të zbulimit dhe shmangies së mbrojtjes, sugjeron një përafrim të mundshëm me një shtet-komb.

Mjete shtesë malware të vendosura së bashku me Agent Racoon

Aktorët e kërcënimit kanë vendosur mjete shtesë në funksionimin e tyre, duke përfshirë një version të personalizuar të Mimikatz të quajtur Mimite dhe një mjet të ri të quajtur Ntospy. Ntospy përdor një modul të personalizuar DLL që zbaton një ofrues rrjeti për të grabitur kredencialet për një server në distancë.

Në të gjithë organizatat e synuara, Ntospy përdoret zakonisht nga sulmuesit. Megjithatë, vlen të përmendet se mjeti Mimilite dhe malware Agent Racoon janë zbuluar ekskluzivisht në mjedise të lidhura me organizata jofitimprurëse dhe të lidhura me qeverinë.

Është e rëndësishme të theksohet se një grup aktiviteti kërcënimi i identifikuar më parë ka qenë gjithashtu i lidhur me përdorimin e Ntospy. Është interesante se ky kundërshtar ka shënjestruar dy organizata që gjithashtu iu nënshtruan fushatës së sulmit Agent Racoon.

Agent Racoon përdoret gjatë fazave fillestare të sulmit kibernetik

Agent Racoon funksionon si një derë e pasme, me objektivin e tij kryesor që të përgatisë sistemin e komprometuar për infeksionet e mëvonshme. Malware krijon një kanal komunikimi me serverin e tij Command-and-Control (C2, C&C) përmes protokollit DNS (Domain Name System). Agent Racoon operon kryesisht përmes detyrave të planifikuara dhe nuk mbështetet në teknika specifike për të siguruar qëndrueshmëri. Megjithatë, përdorimi i tij i sytheve të komunikimit kur ndërvepron me serverin C&C mund të shërbejë si një taktikë kundër zbulimit, duke synuar të zvogëlojë gjasat e bllokimit të rrjetit dhe rritjen e aktivitetit.

Aftësitë e Agent Racoon përfshijnë ekzekutimin e komandave dhe ngarkimin dhe shkarkimin e skedarëve. E para mund të lehtësojë depërtimin e përmbajtjeve shtesë të pasigurta, ndërsa e dyta mundëson ekfiltrimin e të dhënave. Veçanërisht, këto infeksione përfshijnë masa shtesë kundër zbulimit, të tilla si përdorimi i dosjeve të përkohshme dhe një mjet për të pastruar artefaktet e infeksionit pas çdo sulmi. Për më tepër, disa nga programet me qëllim të keq janë maskuar si përditësime të Microsoft.

Në sulmet e vëzhguara që përfshijnë grumbullimin e kredencialeve të malware, të dhënat e ekfiltruara përfshijnë profilet e përdoruesve në roaming dhe emailet nga klientët e Microsoft Exchange.

Është thelbësore të pranohet se, duke pasur parasysh tendencën e zakonshme të zhvilluesve të malware që përsosin softuerin dhe teknikat e tyre, është e besueshme që përsëritjet e ardhshme të Agent Racoon do të shfaqin aftësi të zgjeruara dhe infeksione të lidhura me këtë program mund të adoptojnë metodologji të ndryshme.