بدافزار Agent Raccoon و حمله به سازمان‌های مختلف

محققان Unit42 یک Backdoor به نام Agent Raccoon را کشف کردند که در حملات علیه  برخی از سازمان‌ها استفاده شده است. این بدافزار در .Net نوشته شده است و از پروتکل DNS جهت ایجاد یک کانال ارتباطی مخفی با زیرساخت کنترل و فرمان استفاده می‌کند و به همراه یک ماژول DLL ارائه‌دهنده شبکه به نام Ntospy که جهت سرقت اطلاعات کاربری طراحی شده است و یک نسخه سفارشی شده از Mimikatz به نام Mimilite، در حملات متعدد مورد استفاده قرار گرفته است. 
تجزیه و تحلیل زیرساخت سرور C2 در این بدافزار نشان داد که قدمت آن به سال 2020 باز می‌‌‌‌گردد. به اعتقاد گروه Unit42 که این فعالیت تهدیدآمیز را به عنوان CL-STA-0002 ردیابی می‌‌‌‌کند، Agent Raccoon یک کمپین جاسوسی سایبری با حمایت دولتی است. مهاجمان سعی کردند کد دودویی آن را به عنوان کد دودویی Google Update و MS OneDrive Updater پنهان کنند. نویسندگان این بدافزار تغییرات کوچکی در کد منبع ایجاد کردند تا از شناسایی آن جلوگیری کنند. کارشناسان دامنه‌‌‌‌ای را کشف کردند که به صورت متنی ساده در کد، رمز شده بود و از آن جهت ایجاد کانال مخفی DNS استفاده شد. در نمونه‌های دیگر، نویسندگان از یک رشته رمزگذاری شده Base64 استفاده کرده‌‌‌‌اند.
براساس گزارش این تحقیقات، همه دامنه‌های C2 شناسایی‌شده الگوی پایه یکسانی با مقادیر منحصربه‌فرد برای شناسه چهار کاراکتری در نمونه‌های مختلف دارند. این Backdoor از سراسری کردن نام‌های دامنه برای برنامه‌ها (IDNA) با کدگذاری Punycode برای فرار استفاده می‌کند. Agent Raccoon از عملکرد Backdoor جهت اجرای فرمان، آپلود فایل و دانلود فایل پشتیبانی می‌‌‌‌کند. 

محصولات تحت تأثیر
بدافزار Agent Raccoon در حملات علیه سازمان‌‌‌‌ها، صنایع مختلف از جمله آموزش، املاک، خرده‌فروشی، سازمان‌های غیرانتفاعی، شرکت‌های مخابراتی و دولت‌ها مورد استفاده قرار گرفته است.

توصیه‌های امنیتی
بدافزار جدید سعی در انتشار خود در قالب و اسامی مشابه نرم‌‌‌‌افزارهای به‌روزرسانی مایکروسافت و گوگل دارد. از جمله اهداف تأیید شده این بدافزار، سرقت اطلاعات ایمیل‌‌‌‌ها از سرورهای Exchange مایکروسافت می‌‌‌‌باشد. بنابراین به کاربران محصولات مایکروسافت، به ویژه سرورهای Exchange اکیدأ توصیه می‌‌‌‌شود تا نسبت به شناسایی و اعتبارسنجی محل و منبع دریافت فایل‌‌‌‌های به‌روزرسانی، اهتمام لازم را داشته باشند.

منابع خبر:

[1]https://securityaffairs.com/155137/malware/agent-raccoon-malware.html?_gl=1*xgcgq8*_ga*MTE5MTg3MTgw…
[2] https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
[3] https://www.bleepingcomputer.com/news/security/hackers-use-new-agent-raccoon-malware-to-backdoor-us…