Agent Racoon Bagdør

Ukendte trusselsaktører har aktivt målrettet organisationer i Mellemøsten, Afrika og USA ved at bruge en ny bagdør ved navn Agent Racoon. Denne malware, der er udviklet inden for .NET frameworket, bruger Domain Name Service (DNS) protokollen til at etablere en skjult kanal, der muliggør forskellige bagdørsfunktioner.

Ofrene for disse angreb kommer fra forskellige sektorer, herunder uddannelse, fast ejendom, detailhandel, nonprofitorganisationer, telekommunikation og offentlige enheder. Indtil videre er den nøjagtige identitet på trusselsaktøren ukendt. Arten af angrebene, kendetegnet ved udvælgelsen af ofre og anvendelsen af sofistikerede detektions- og forsvarunddragelsesteknikker, antyder en potentiel tilpasning til en nationalstat.

Yderligere malware-værktøjer installeret sammen med Agent Racoon

Trusselsaktørerne har indsat yderligere værktøjer i deres drift, herunder en tilpasset version af Mimikatz ved navn Mimilite og et nyt værktøj kaldet Ntospy. Ntospy anvender et brugerdefineret DLL-modul, der implementerer en netværksudbyder til at stjæle legitimationsoplysninger til en fjernserver.

På tværs af de målrettede organisationer er Ntospy almindeligvis brugt af angriberne. Det er dog bemærkelsesværdigt, at Mimilite-værktøjet og Agent Racoon-malwaren udelukkende er blevet opdaget i miljøer forbundet med nonprofit- og regeringsrelaterede organisationer.

Det er vigtigt at fremhæve, at en tidligere identificeret trusselaktivitetsklynge også er blevet forbundet med brugen af Ntospy. Interessant nok har denne modstander angrebet to organisationer, der også var udsat for Agent Racoon-angrebskampagnen.

Agent Racoon bruges i de indledende stadier af cyberangrebet

Agent Racoon fungerer som en bagdør, med dets primære mål at forberede det kompromitterede system til efterfølgende infektioner. Malwaren etablerer en kommunikationskanal med dens Command-and-Control-server (C2, C&C) gennem DNS-protokollen (Domain Name System). Agent Racoon opererer primært gennem planlagte opgaver og er ikke afhængig af specifikke teknikker til at sikre vedholdenhed. Dets brug af kommunikationssløjfer, når det interagerer med C&C-serveren, kan dog tjene som en anti-detektionstaktik, der sigter mod at reducere sandsynligheden for netværksjamming og aktivitetsspidser.

Funktionerne i Agent Racoon inkluderer at udføre kommandoer og uploade og downloade filer. Førstnævnte kan lette infiltrationen af yderligere usikkert indhold, mens sidstnævnte muliggør dataeksfiltrering. Disse infektioner inkorporerer især yderligere anti-detektionsforanstaltninger, såsom brugen af midlertidige mapper og et værktøj til at fjerne infektionsartefakter efter hvert angreb. Desuden er nogle af de ondsindede programmer forklædt som Microsoft-opdateringer.

I de observerede angreb, der involverer credentia-indsamling af malware, omfatter de eksfiltrerede data roaming-brugerprofiler og e-mails fra Microsoft Exchange-klienter.

Det er afgørende at erkende, at i betragtning af den almindelige tendens med malware-udviklere, der raffinerer deres software og teknikker, er det sandsynligt, at fremtidige iterationer af Agent Racoon vil indeholde forbedrede muligheder, og infektioner forbundet med dette program kan anvende forskellige metoder.