Agent Racoon Backdoor

ผู้คุกคามที่ไม่รู้จักได้กำหนดเป้าหมายองค์กรในตะวันออกกลาง แอฟริกา และสหรัฐอเมริกาอย่างแข็งขัน โดยใช้แบ็คดอร์ตัวใหม่ชื่อ Agent Racoon มัลแวร์นี้ได้รับการพัฒนาภายในกรอบงาน .NET ใช้โปรโตคอล Domain Name Service (DNS) เพื่อสร้างช่องทางที่ปกปิด เปิดใช้งานฟังก์ชันแบ็คดอร์ที่หลากหลาย

เหยื่อของการโจมตีเหล่านี้มาจากหลายภาคส่วน รวมถึงการศึกษา อสังหาริมทรัพย์ การค้าปลีก องค์กรไม่แสวงหากำไร โทรคมนาคม และหน่วยงานภาครัฐ จนถึงขณะนี้ยังไม่ทราบตัวตนที่แท้จริงของผู้ก่อภัยคุกคาม ลักษณะของการโจมตี ซึ่งมีลักษณะเฉพาะคือการเลือกเหยื่อและการใช้เทคนิคการตรวจจับและการหลบเลี่ยงการป้องกันที่ซับซ้อน ชี้ให้เห็นถึงความสอดคล้องกับรัฐชาติ

เครื่องมือมัลแวร์เพิ่มเติมที่ใช้งานควบคู่ไปกับ Agent Racoon

ผู้ก่อภัยคุกคามได้ใช้เครื่องมือเพิ่มเติมในการปฏิบัติงาน รวมถึง Mimikatz เวอร์ชันปรับแต่งชื่อ Mimilite และยูทิลิตี้ใหม่ชื่อ Ntospy Ntospy ใช้โมดูล DLL แบบกำหนดเองที่ใช้ผู้ให้บริการเครือข่ายเพื่อขโมยข้อมูลรับรองสำหรับเซิร์ฟเวอร์ระยะไกล

ผู้โจมตีมักใช้ Ntospy ทั่วทั้งองค์กรเป้าหมาย อย่างไรก็ตาม เป็นที่น่าสังเกตว่าเครื่องมือ Mimilite และมัลแวร์ Agent Racoon นั้นถูกค้นพบในสภาพแวดล้อมที่เกี่ยวข้องกับองค์กรที่ไม่แสวงหากำไรและองค์กรที่เกี่ยวข้องกับรัฐบาลโดยเฉพาะ

สิ่งสำคัญคือต้องเน้นว่ากลุ่มกิจกรรมภัยคุกคามที่ระบุก่อนหน้านี้เชื่อมโยงกับการใช้ Ntospy ด้วย สิ่งที่น่าสนใจคือฝ่ายตรงข้ามรายนี้ได้กำหนดเป้าหมายไปยังสององค์กรที่ถูกโจมตีด้วยการโจมตีของ Agent Racoon เช่นกัน

Agent Racoon ถูกใช้ในช่วงเริ่มต้นของการโจมตีทางไซเบอร์

Agent Racoon ทำหน้าที่เป็นแบ็คดอร์ โดยมีวัตถุประสงค์หลักคือเพื่อเตรียมระบบที่ถูกบุกรุกสำหรับการติดเชื้อในภายหลัง มัลแวร์สร้างช่องทางการสื่อสารด้วยเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ผ่านโปรโตคอล DNS (Domain Name System) Agent Racoon ดำเนินการตามงานที่กำหนดเวลาไว้เป็นหลัก และไม่ต้องพึ่งพาเทคนิคเฉพาะเพื่อให้มั่นใจถึงความคงอยู่ อย่างไรก็ตาม การใช้ลูปการสื่อสารเมื่อโต้ตอบกับเซิร์ฟเวอร์ C&C อาจทำหน้าที่เป็นกลยุทธ์ในการป้องกันการตรวจจับ โดยมีจุดมุ่งหมายเพื่อลดโอกาสที่เครือข่ายจะติดขัดและกิจกรรมที่พุ่งสูงขึ้น

ความสามารถของ Agent Racoon รวมถึงการดำเนินการคำสั่งและการอัพโหลดและดาวน์โหลดไฟล์ แบบแรกอาจอำนวยความสะดวกในการแทรกซึมเนื้อหาที่ไม่ปลอดภัยเพิ่มเติม ในขณะที่แบบหลังช่วยให้สามารถกรองข้อมูลได้ โดยเฉพาะอย่างยิ่ง การติดไวรัสเหล่านี้รวมเอามาตรการป้องกันการตรวจจับเพิ่มเติม เช่น การใช้โฟลเดอร์ชั่วคราวและเครื่องมือในการล้างสิ่งรบกวนการติดไวรัสหลังการโจมตีแต่ละครั้ง นอกจากนี้ โปรแกรมที่เป็นอันตรายบางโปรแกรมยังปลอมแปลงเป็นการอัพเดตของ Microsoft

ในการโจมตีที่สังเกตได้ซึ่งเกี่ยวข้องกับมัลแวร์ที่รวบรวมข้อมูลประจำตัว ข้อมูลที่ถูกกรองจะครอบคลุมโปรไฟล์ผู้ใช้ที่โรมมิ่งและอีเมลจากไคลเอนต์ Microsoft Exchange

สิ่งสำคัญคือต้องรับทราบว่า เนื่องจากแนวโน้มทั่วไปของนักพัฒนามัลแวร์ในการปรับปรุงซอฟต์แวร์และเทคนิคของตน จึงเป็นไปได้ที่ Agent Racoon รุ่นต่อๆ ไปจะนำเสนอความสามารถที่ได้รับการปรับปรุง และการติดไวรัสที่เกี่ยวข้องกับโปรแกรมนี้อาจนำวิธีการที่หลากหลายไปใช้