Agent Racoon Backdoor

அறியப்படாத அச்சுறுத்தல் நடிகர்கள் மத்திய கிழக்கு, ஆப்பிரிக்கா மற்றும் அமெரிக்காவில் உள்ள நிறுவனங்களை குறிவைத்து, முகவர் ரக்கூன் என்ற புதிய பின்கதவைப் பயன்படுத்துகின்றனர். இந்த மால்வேர், .NET கட்டமைப்பிற்குள் உருவாக்கப்பட்டு, பல்வேறு பின்கதவு செயல்பாடுகளை செயல்படுத்தி, மறைக்கப்பட்ட சேனலை நிறுவ டொமைன் பெயர் சேவை (DNS) நெறிமுறையைப் பயன்படுத்துகிறது.

இந்தத் தாக்குதல்களால் பாதிக்கப்பட்டவர்கள் கல்வி, ரியல் எஸ்டேட், சில்லறை வணிகம், இலாப நோக்கற்ற நிறுவனங்கள், தொலைத்தொடர்பு மற்றும் அரசு நிறுவனங்கள் உட்பட பல்வேறு துறைகளைச் சேர்ந்தவர்கள். இதுவரை, மிரட்டல் நடிகரின் சரியான அடையாளம் தெரியவில்லை. தாக்குதலின் தன்மை, பாதிக்கப்பட்டவர்களின் தேர்வு மற்றும் அதிநவீன கண்டறிதல் மற்றும் தற்காப்பு ஏய்ப்பு நுட்பங்களைப் பயன்படுத்துதல் ஆகியவற்றால் வகைப்படுத்தப்படுகிறது, இது ஒரு தேசிய-அரசுடன் சாத்தியமான ஒருங்கிணைப்பை பரிந்துரைக்கிறது.

முகவர் ரக்கூனுடன் கூடுதல் மால்வேர் கருவிகள் பயன்படுத்தப்படுகின்றன

மிமிலைட் என்ற Mimikatz இன் தனிப்பயனாக்கப்பட்ட பதிப்பு மற்றும் Ntospy எனப்படும் புதிய பயன்பாடு உட்பட, அச்சுறுத்தல் நடிகர்கள் தங்கள் செயல்பாட்டில் கூடுதல் கருவிகளைப் பயன்படுத்தியுள்ளனர். Ntospy தனிப்பயன் DLL தொகுதியைப் பயன்படுத்துகிறது, இது தொலை சேவையகத்திற்கான நற்சான்றிதழ்களைத் திருட நெட்வொர்க் வழங்குநரை செயல்படுத்துகிறது.

இலக்கு வைக்கப்பட்ட நிறுவனங்கள் முழுவதும், Ntospy பொதுவாக தாக்குபவர்களால் பயன்படுத்தப்படுகிறது. இருப்பினும், Mimilite கருவி மற்றும் Agent Racoon மால்வேர் ஆகியவை லாப நோக்கமற்ற மற்றும் அரசு சார்ந்த நிறுவனங்களுடன் தொடர்புடைய சூழல்களில் பிரத்தியேகமாக கண்டுபிடிக்கப்பட்டுள்ளன என்பது குறிப்பிடத்தக்கது.

முன்னர் அடையாளம் காணப்பட்ட அச்சுறுத்தல் செயல்பாட்டுக் குழுவும் Ntospy பயன்பாட்டுடன் இணைக்கப்பட்டுள்ளது என்பதை முன்னிலைப்படுத்துவது முக்கியம். சுவாரஸ்யமாக, இந்த எதிரி முகவர் ரகூன் தாக்குதல் பிரச்சாரத்திற்கு உட்பட்ட இரண்டு அமைப்புகளை குறிவைத்துள்ளார்.

முகவர் ரக்கூன் சைபர் தாக்குதலின் ஆரம்ப கட்டங்களில் பயன்படுத்தப்படுகிறது

முகவர் ரக்கூன் ஒரு பின்கதவாகச் செயல்படுகிறது, அதன் முதன்மை நோக்கம் அடுத்தடுத்த நோய்த்தொற்றுகளுக்கு சமரசம் செய்யப்பட்ட அமைப்பைத் தயாரிப்பதாகும். தீம்பொருள் DNS (டொமைன் நேம் சிஸ்டம்) நெறிமுறை மூலம் அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்துடன் ஒரு தொடர்பு சேனலை நிறுவுகிறது. ஏஜென்ட் ரக்கூன் முதன்மையாக திட்டமிடப்பட்ட பணிகளின் மூலம் செயல்படுகிறது மற்றும் நிலைத்தன்மையை உறுதி செய்வதற்கான குறிப்பிட்ட நுட்பங்களை நம்பவில்லை. இருப்பினும், C&C சர்வருடன் தொடர்பு கொள்ளும்போது தகவல் தொடர்பு சுழல்களைப் பயன்படுத்துவது, கண்டறிதல் எதிர்ப்பு உத்தியாகச் செயல்படலாம், இது பிணைய நெரிசல் மற்றும் செயல்பாட்டு ஸ்பைக்குகளின் வாய்ப்பைக் குறைக்கும்.

ஏஜென்ட் ரக்கூனின் திறன்களில் கட்டளைகளைச் செயல்படுத்துதல் மற்றும் கோப்புகளைப் பதிவேற்றுதல் மற்றும் பதிவிறக்குதல் ஆகியவை அடங்கும். முந்தையது கூடுதல் பாதுகாப்பற்ற உள்ளடக்கத்தின் ஊடுருவலை எளிதாக்கலாம், பிந்தையது தரவு வெளியேற்றத்தை செயல்படுத்துகிறது. குறிப்பிடத்தக்க வகையில், இந்த நோய்த்தொற்றுகள், தற்காலிக கோப்புறைகளைப் பயன்படுத்துதல் மற்றும் ஒவ்வொரு தாக்குதலுக்குப் பிறகு தொற்றுக் கலைப்பொருட்களை அழிக்கும் கருவி போன்ற கூடுதல் கண்டறிதல் நடவடிக்கைகளையும் உள்ளடக்கியது. மேலும், சில தீங்கிழைக்கும் நிரல்கள் மைக்ரோசாப்ட் புதுப்பிப்புகளாக மாறுவேடமிடப்படுகின்றன.

நற்சான்றிதழ் சேகரிப்பு மால்வேரை உள்ளடக்கிய கவனிக்கப்பட்ட தாக்குதல்களில், வெளியேற்றப்பட்ட தரவு ரோமிங் பயனர் சுயவிவரங்கள் மற்றும் மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் கிளையண்டுகளின் மின்னஞ்சல்களை உள்ளடக்கியது.

மால்வேர் டெவலப்பர்கள் தங்கள் மென்பொருள் மற்றும் நுட்பங்களைச் செம்மைப்படுத்தும் பொதுவான போக்கைக் கருத்தில் கொண்டு, ஏஜென்ட் ரகூனின் எதிர்கால மறு செய்கைகள் மேம்பட்ட திறன்களைக் கொண்டிருக்கும் மற்றும் இந்தத் திட்டத்துடன் தொடர்புடைய நோய்த்தொற்றுகள் பல்வேறு முறைகளைப் பின்பற்றலாம் என்பதை ஒப்புக்கொள்வது மிகவும் முக்கியமானது.