Agent Racoon Backdoor

Bilinmeyen tehdit aktörleri, Ajan Racoon adlı yeni bir arka kapı kullanarak Orta Doğu, Afrika ve ABD'deki kuruluşları aktif olarak hedef alıyor. .NET çerçevesinde geliştirilen bu kötü amaçlı yazılım, gizli bir kanal oluşturmak için Etki Alanı Adı Hizmeti (DNS) protokolünü kullanarak çeşitli arka kapı işlevlerine olanak tanır.

Bu saldırıların kurbanları eğitim, emlak, perakende, kar amacı gütmeyen kuruluşlar, telekomünikasyon ve devlet kurumları dahil olmak üzere çeşitli sektörlerden geliyor. Şu ana kadar tehdit aktörünün kesin kimliği bilinmiyor. Kurbanların seçimi ve gelişmiş tespit ve savunma kaçırma tekniklerinin kullanılmasıyla karakterize edilen saldırıların doğası, bir ulus devletle potansiyel bir ittifaka işaret ediyor.

Agent Racoon'un Yanında Kullanılan Ek Kötü Amaçlı Yazılım Araçları

Tehdit aktörleri, operasyonlarında Mimikatz'ın Mimilite adlı özelleştirilmiş bir sürümü ve Ntospy adlı yeni bir yardımcı program da dahil olmak üzere ek araçlar kullandı. Ntospy, uzak bir sunucunun kimlik bilgilerini çalmak için bir ağ sağlayıcısı uygulayan özel bir DLL modülü kullanır.

Hedeflenen kuruluşlarda Ntospy, saldırganlar tarafından yaygın olarak kullanılıyor. Ancak Mimilite aracının ve Agent Racoon kötü amaçlı yazılımının yalnızca kar amacı gütmeyen kuruluşlar ve devletle ilgili kuruluşlarla ilişkili ortamlarda keşfedilmiş olması dikkat çekicidir.

Önceden tanımlanmış bir tehdit faaliyeti kümesinin aynı zamanda Ntospy kullanımıyla da bağlantılı olduğunu vurgulamak önemlidir. İlginç bir şekilde bu düşman, Ajan Racoon saldırı kampanyasına da maruz kalan iki kuruluşu hedef aldı.

Ajan Racoon, Siber Saldırının İlk Aşamalarında Kullanılıyor

Ajan Racoon bir arka kapı görevi görüyor ve asıl amacı, ele geçirilen sistemi sonraki enfeksiyonlara hazırlamaktır. Kötü amaçlı yazılım, Komuta ve Kontrol (C2, C&C) sunucusuyla DNS (Alan Adı Sistemi) protokolü üzerinden bir iletişim kanalı kurar. Ajan Racoon öncelikli olarak zamanlanmış görevler üzerinden çalışır ve kalıcılığı sağlamak için belirli tekniklere güvenmez. Bununla birlikte, C&C sunucusuyla etkileşimde bulunurken iletişim döngülerinin kullanılması, ağ sıkışması ve aktivite artışları olasılığını azaltmayı amaçlayan bir tespit önleme taktiği olarak hizmet edebilir.

Agent Racoon'un yetenekleri arasında komutların yürütülmesi ve dosyaların yüklenmesi ve indirilmesi yer alır. İlki, ek güvenli olmayan içeriğin sızmasını kolaylaştırabilirken, ikincisi veri sızmasına olanak sağlar. Özellikle, bu enfeksiyonlar, geçici klasörlerin kullanımı ve her saldırıdan sonra enfeksiyon artefaktlarını temizlemeye yönelik bir araç gibi ek tespit edilmeye karşı önlemleri içerir. Ayrıca, kötü amaçlı programlardan bazıları Microsoft güncellemeleri olarak gizleniyor.

Kötü amaçlı yazılım toplamayı içeren gözlemlenen saldırılarda, sızdırılan veriler, Microsoft Exchange istemcilerinden gelen dolaşımdaki kullanıcı profillerini ve e-postaları kapsamaktadır.

Kötü amaçlı yazılım geliştiricilerinin yazılımlarını ve tekniklerini geliştirme konusundaki ortak eğilimi göz önüne alındığında, Agent Racoon'un gelecekteki yinelemelerinin gelişmiş yeteneklere sahip olacağının ve bu programla ilişkili enfeksiyonların farklı metodolojileri benimseyebileceğinin makul olduğunu kabul etmek çok önemlidir.