Agent Racoon Backdoor

Neznámí aktéři hrozeb se aktivně zaměřují na organizace na Středním východě, v Africe a Spojených státech a využívají nová zadní vrátka jménem Agent Racoon. Tento malware, vyvinutý v rámci .NET, využívá protokol Domain Name Service (DNS) k vytvoření skrytého kanálu, který umožňuje různé funkce backdoor.

Oběti těchto útoků pocházejí z různých sektorů, včetně školství, nemovitostí, maloobchodu, neziskových organizací, telekomunikací a vládních subjektů. Přesná identita aktéra hrozby zatím zůstává neznámá. Povaha útoků, charakterizovaná výběrem obětí a využitím sofistikovaných detekčních a obranných únikových technik, naznačuje možné spojení s národním státem.

Další malwarové nástroje nasazené spolu s Agent Racoon

Aktéři hrozeb nasadili do svých operací další nástroje, včetně přizpůsobené verze Mimikatz s názvem Mimilite a nového nástroje s názvem Ntospy. Ntospy využívá vlastní modul DLL, který implementuje poskytovatele sítě ke krádeži pověření pro vzdálený server.

V cílových organizacích útočníci běžně používají Ntospy. Je však pozoruhodné, že nástroj Mimilite a malware Agent Racoon byly objeveny výhradně v prostředích spojených s neziskovými a vládními organizacemi.

Je důležité zdůraznit, že dříve identifikovaný cluster aktivit hrozeb byl také spojen s použitím Ntospy. Zajímavé je, že tento protivník se zaměřil na dvě organizace, které byly také vystaveny útočné kampani Agent Racoon.

Agent Racoon se používá během počátečních fází kybernetického útoku

Agent Racoon funguje jako zadní vrátka, jehož primárním cílem je připravit napadený systém na následné infekce. Malware vytváří komunikační kanál se svým serverem Command-and-Control (C2, C&C) prostřednictvím protokolu DNS (Domain Name System). Agent Racoon primárně operuje prostřednictvím naplánovaných úkolů a nespoléhá na specifické techniky pro zajištění perzistence. Jeho využití komunikačních smyček při interakci se serverem C&C však může sloužit jako antidetekční taktika, jejímž cílem je snížit pravděpodobnost zasekávání sítě a špiček aktivity.

Mezi schopnosti Agent Racoon patří provádění příkazů a nahrávání a stahování souborů. První může usnadnit infiltraci dalšího nebezpečného obsahu, zatímco druhý umožňuje exfiltraci dat. Je pozoruhodné, že tyto infekce zahrnují další opatření proti detekci, jako je použití dočasných složek a nástroj k odstranění artefaktů infekce po každém útoku. Některé škodlivé programy jsou navíc maskovány jako aktualizace společnosti Microsoft.

V pozorovaných útocích zahrnujících malware shromažďování pověření exfiltrovaná data zahrnují roamingové uživatelské profily a e-maily z klientů Microsoft Exchange.

Je důležité uznat, že vzhledem k běžnému trendu vývojářů malwaru zdokonalovat svůj software a techniky je pravděpodobné, že budoucí iterace Agent Racoon budou obsahovat vylepšené schopnosti a infekce spojené s tímto programem by mohly přijmout různé metodiky.