Agent Racoon Achterdeur

Onbekende dreigingsactoren hebben zich actief gericht op organisaties in het Midden-Oosten, Afrika en de Verenigde Staten, waarbij ze gebruik maken van een nieuwe achterdeur genaamd Agent Racoon. Deze malware, ontwikkeld binnen het .NET-framework, maakt gebruik van het Domain Name Service (DNS)-protocol om een verborgen kanaal tot stand te brengen, waardoor diverse achterdeurfunctionaliteiten mogelijk worden gemaakt.

De slachtoffers van deze aanvallen komen uit diverse sectoren, waaronder het onderwijs, de vastgoedsector, de detailhandel, non-profitorganisaties, telecommunicatie en overheidsinstanties. Tot nu toe blijft de exacte identiteit van de dreigingsactor onbekend. De aard van de aanvallen, gekenmerkt door de selectie van slachtoffers en het gebruik van geavanceerde detectie- en verdedigingsontwijkingstechnieken, duidt op een mogelijke aansluiting bij een natiestaat.

Naast de Agent Racoon zijn aanvullende malwaretools ingezet

De bedreigingsactoren hebben aanvullende tools in hun operatie ingezet, waaronder een aangepaste versie van Mimikatz genaamd Mimilite en een nieuw hulpprogramma genaamd Ntospy. Ntospy maakt gebruik van een aangepaste DLL-module die een netwerkprovider implementeert om inloggegevens voor een externe server te stelen.

Bij de beoogde organisaties wordt Ntospy vaak gebruikt door de aanvallers. Het is echter opmerkelijk dat de Mimilite-tool en de Agent Racoon-malware uitsluitend zijn ontdekt in omgevingen die verband houden met non-profitorganisaties en overheidsgerelateerde organisaties.

Het is belangrijk om te benadrukken dat een eerder geïdentificeerd cluster van bedreigingsactiviteiten ook in verband is gebracht met het gebruik van Ntospy. Interessant is dat deze tegenstander zich heeft gericht op twee organisaties die ook het slachtoffer waren van de Agent Racoon-aanvalscampagne.

De Agent Racoon wordt gebruikt tijdens de beginfase van de cyberaanval

De Agent Racoon fungeert als achterdeur, met als voornaamste doel het gecompromitteerde systeem voor te bereiden op daaropvolgende infecties. De malware brengt een communicatiekanaal tot stand met zijn Command-and-Control (C2, C&C)-server via het DNS-protocol (Domain Name System). Agent Racoon werkt voornamelijk via geplande taken en vertrouwt niet op specifieke technieken om doorzettingsvermogen te garanderen. Het gebruik van communicatielussen bij interactie met de C&C-server kan echter dienen als anti-detectietactiek, met als doel de kans op netwerkstoringen en activiteitspieken te verkleinen.

De mogelijkheden van de Agent Racoon omvatten het uitvoeren van opdrachten en het uploaden en downloaden van bestanden. De eerste kan de infiltratie van extra onveilige inhoud vergemakkelijken, terwijl de laatste gegevensexfiltratie mogelijk maakt. Deze infecties omvatten met name aanvullende antidetectiemaatregelen, zoals het gebruik van tijdelijke mappen en een tool om infectieartefacten na elke aanval te verwijderen. Bovendien zijn sommige kwaadaardige programma's vermomd als Microsoft-updates.

Bij de waargenomen aanvallen met malware die credentia verzamelt, omvatten de geëxfiltreerde gegevens zwervende gebruikersprofielen en e-mails van Microsoft Exchange-clients.

Het is van cruciaal belang om te erkennen dat, gezien de gemeenschappelijke trend van malware-ontwikkelaars die hun software en technieken verfijnen, het aannemelijk is dat toekomstige iteraties van Agent Racoon over verbeterde mogelijkheden zullen beschikken en dat infecties die verband houden met dit programma verschillende methodologieën kunnen aannemen.