Agent Racoon Backdoor

Nieznani ugrupowania zagrażające aktywnie atakują organizacje na Bliskim Wschodzie, w Afryce i Stanach Zjednoczonych, wykorzystując nowatorskiego backdoora o nazwie Agent Racoon. To złośliwe oprogramowanie, opracowane w środowisku .NET, wykorzystuje protokół Domain Name Service (DNS) do ustanowienia ukrytego kanału, umożliwiającego różnorodne funkcje backdoora.

Ofiary tych ataków pochodzą z różnych sektorów, w tym z edukacji, nieruchomości, handlu detalicznego, organizacji non-profit, telekomunikacji i podmiotów rządowych. Jak dotąd dokładna tożsamość ugrupowania zagrażającego pozostaje nieznana. Charakter ataków, charakteryzujący się wyborem ofiar i wykorzystaniem wyrafinowanych technik wykrywania i unikania obrony, sugeruje potencjalne powiązanie z państwem narodowym.

Dodatkowe narzędzia złośliwego oprogramowania wdrożone wraz z agentem Racoon

Przestępcy wdrożyli w swoim działaniu dodatkowe narzędzia, w tym dostosowaną wersję Mimikatz o nazwie Mimilite i nowatorskie narzędzie o nazwie Ntospy. Ntospy wykorzystuje niestandardowy moduł DLL, który implementuje dostawcę sieci w celu kradzieży danych uwierzytelniających dla zdalnego serwera.

We wszystkich docelowych organizacjach atakujący powszechnie używają narzędzia Ntospy. Warto jednak zauważyć, że narzędzie Mimilite i złośliwe oprogramowanie Agent Racoon zostały wykryte wyłącznie w środowiskach powiązanych z organizacjami non-profit i organizacjami rządowymi.

Należy podkreślić, że wcześniej zidentyfikowany klaster działań związanych z zagrożeniami został również powiązany z użyciem Ntospy. Co ciekawe, przeciwnik ten obrał za cel dwie organizacje, które również stały się ofiarą kampanii ataków Agenta Racoona.

Agent Racoon jest używany podczas początkowych etapów cyberataku

Agent Racoon działa jak backdoor, a jego głównym celem jest przygotowanie zaatakowanego systemu na kolejne infekcje. Szkodnik ustanawia kanał komunikacyjny ze swoim serwerem dowodzenia i kontroli (C2, C&C) za pośrednictwem protokołu DNS (Domain Name System). Agent Racoon działa głównie w oparciu o zaplanowane zadania i nie polega na konkretnych technikach zapewniających trwałość. Jednakże wykorzystanie pętli komunikacyjnych podczas interakcji z serwerem kontroli może służyć jako taktyka zapobiegająca wykryciu, mająca na celu zmniejszenie prawdopodobieństwa zakłócania sieci i skoków aktywności.

Możliwości Agenta Racoon obejmują wykonywanie poleceń oraz przesyłanie i pobieranie plików. Ten pierwszy może ułatwić infiltrację dodatkowych niebezpiecznych treści, drugi zaś umożliwia eksfiltrację danych. Warto zauważyć, że infekcje te obejmują dodatkowe środki zapobiegające wykryciu, takie jak korzystanie z folderów tymczasowych i narzędzia do usuwania artefaktów infekcji po każdym ataku. Co więcej, niektóre szkodliwe programy maskują się jako aktualizacje Microsoftu.

W zaobserwowanych atakach obejmujących złośliwe oprogramowanie gromadzące dane uwierzytelniające, eksfiltrowane dane obejmują profile użytkowników mobilnych i wiadomości e-mail od klientów Microsoft Exchange.

Należy koniecznie przyznać, że biorąc pod uwagę powszechną tendencję twórców złośliwego oprogramowania do udoskonalania swojego oprogramowania i technik, prawdopodobne jest, że przyszłe wersje programu Agent Racoon będą charakteryzowały się zwiększonymi możliwościami, a infekcje powiązane z tym programem mogą przyjmować różnorodne metodologie.