خانه » بکدور Agent Racoon، به سازمان‌های خاورمیانه، آفریقا و ایالات متحده نفوذ کرد

بکدور Agent Racoon، به سازمان‌های خاورمیانه، آفریقا و ایالات متحده نفوذ کرد

توسط Vulnerbyte
76 بازدید
بکدور Agent Racoon

بدافزار جدیدی به نام بکدور Agent Racoon در حملات سایبری علیه سازمان‌های ایالات متحده، خاورمیانه و آفریقا مشاهده شده‌ است. این بدافزار توسط واحد ۴۲ شبکه پالو آلتو کشف شده‌ و سازمان‌هایی را در بخش‌های مختلف از جمله دولت، مخابرات، آموزش، املاک و خرده فروشی مورد هدف قرار داده‌ است.

محققان با اطمینان متوسط ارزیابی کرده‌اند که این خوشه فعالیت تهدید به دلیل ماهیت سازمان‌هایی که به آنها نفوذ کرده است و همچنین TTP‌های[1] مشاهده‌ شده و سفارشی‌سازی مجموعه ابزارها با عوامل تهدید تحت حمایت دولت مرتبط می‌باشد. شرکت امنیت سایبری در حال ردیابی این کلاستر تحت نام “CL-STA-0002” است. در حال حاضر مشخص نیست که چگونه این سازمان‌ها مورد نفوذ قرار گرفته‌اند و حملات چه زمانی رُخ داده است. انتخاب اهداف، ماهیت ابزارهای مستقر شده، روش‌های استخراج داده، اطلاعات هدفمند و ماهیت پنهان حملات حاکی از آن است که هدف آنها جاسوسی می‌باشد.

این خانواده بدافزار با استفاده از فریمورک دات نت نوشته شده است و از پروتکل DNS برای ایجاد یک کانال مخفی و ارائه عملکردهای مختلف بکدور استفاده می‌کند. این بکدور، کوئری هایی را با زیردامنه های کدگذاری شده توسط Punycode به منظور دور زدن مکانیزم های امنیتی ایجاد می‌کند، در حالی که شامل مقادیر تصادفی نیز می‌باشد تا ردیابی ارتباطات را دشوارتر سازد.

بکدور Agent Racoon
نمونه کوئری DNS

در حالی که بدافزار، خود فاقد مکانیزم پایداری و تداوم دسترسی است، مشاهدات حاکی از آن است که توسط taskهای زمان بندی شده اجرا می‌شود. این بدافزار قادر به اجرای فرمان از راه دور، آپلود و دانلود فایل و ارائه دسترسی از راه دور به سیستم آلوده می‌باشد. تحلیلگران همچنین خاطرنشان کردند که نمونه‌های مختلفی از بکدور Agent Racoon را با تغییرات جزئی کد و بهینه‌سازی در تنظیمات آن شناسایی کرده‌اند که نشان می‌دهد نویسندگان بدافزار به طور فعال در حال توسعه و تطبیق آن با نیازهای عملیاتی خاص خود هستند.

سایر ابزارهای منحصر به فرد

مهاجمان به غیر از بکدور Agent Racoon، از یک نسخه سفارشی سازی شده از ابزار Mimikatz با شناسه Mimilite  و همچنین ابزار جدیدی به نام Ntospy که در آن از یک ماژول DLL سفارشی استفاده شده است و از  ارائه دهنده شبکه به منظور ربودن گواهی های اعتبار به یک سرور راه دور استفاده کرده‌اند. Ntospy به عنوان یک ماژول ارائه دهنده شبکه قانونی به نام ” credman” ثبت می‌شود تا فرآیند احراز هویت را ربوده و گواهی اعتبار کاربر را دریافت کند.

بکدور Agent Racoon
دستور رجیستری برای راه اندازی credman

این ابزار نیز از نام فایل‌هایی استفاده می‌کند که شبیه فایل‌های به روزرسانی مایکروسافت (Microsoft Update) می‌باشند و گواهی ‌های اعتبار رهگیری شده را به صورت متن ساده و لوکال در دستگاه تحت نفوذ ذخیره می‌کند. در نهایت، مهاجمان از فایل‌های کلیدی PowerShell به منظور ربودن ایمیل‌ها از سرورهای Microsoft Exchange یا سرقت پوشه‌های Roaming Profile قربانیان استفاده می‌کنند و دایرکتوری را توسط Zip 7- فشرده می‌نمایند.

فرآیند استخراج ایمیل شامل معیارهای جستجوی متمایز برای هر صندوق ورودی می‌باشد که نشان‌ دهنده یک رویکرد جمع‌آوری داده هدفمند است که با مشخصات عملیاتی جاسوسی مفروض مطابقت دارد.

خوشه فعالیت ناشناخته دارای همپوشانی‌های قابل توجهی با عامل تهدید دیگری است که واحد ۴۲ آن را با شناسه” CL-STA-0043” دنبال می‌کند و به عنوان یک عامل تهدید تحت حمایت دولت با اطلاعات محرمانه شناخته می‌شود.

 

[1] Tactics, Techniques and Procedures

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید