Agent Racoon Backdoor

Невідомі зловмисники активно атакують організації на Близькому Сході, в Африці та Сполучених Штатах, використовуючи новий бекдор під назвою Agent Racoon. Це зловмисне програмне забезпечення, розроблене в рамках .NET Framework, використовує протокол служби доменних імен (DNS) для встановлення прихованого каналу, уможливлюючи різноманітні функції бекдору.

Жертвами цих атак є представники різних секторів, включаючи освіту, нерухомість, роздрібну торгівлю, некомерційні організації, телекомунікації та державні установи. Поки що точна особа зловмисника залишається невідомою. Характер атак, що характеризується відбором жертв і використанням складних методів виявлення та ухилення від захисту, свідчить про потенційну прихильність до національної держави.

Додаткові інструменти зловмисного ПЗ, розгорнуті разом з Agent Racoon

Зловмисники розгорнули додаткові інструменти для своєї роботи, зокрема спеціалізовану версію Mimikatz під назвою Mimilite та нову утиліту під назвою Ntospy. Ntospy використовує спеціальний модуль DLL, який реалізує мережевий провайдер для крадіжки облікових даних для віддаленого сервера.

У цільових організаціях зловмисники зазвичай використовують Ntospy. Однак варто відзначити, що інструмент Mimilite і зловмисне програмне забезпечення Agent Racoon були виявлені виключно в середовищах, пов’язаних з некомерційними та державними організаціями.

Важливо підкреслити, що раніше виявлений кластер активності загроз також був пов’язаний з використанням Ntospy. Цікаво, що цей супротивник націлився на дві організації, які також зазнали атаки Agent Racoon.

Агент Racoon використовується на початкових етапах кібератаки

Agent Racoon функціонує як бекдор, головною метою якого є підготовка скомпрометованої системи до наступних заражень. Зловмисне програмне забезпечення встановлює канал зв’язку зі своїм сервером командування та керування (C2, C&C) через протокол DNS (система доменних імен). Agent Racoon в основному працює за допомогою запланованих завдань і не покладається на певні методи для забезпечення стійкості. Однак використання ним петель зв’язку під час взаємодії з сервером C&C може служити тактикою запобігання виявленню, спрямованою на зменшення ймовірності мережевих перешкод і стрибків активності.

Можливості Agent Racoon включають виконання команд і завантаження та завантаження файлів. Перше може сприяти проникненню додаткового небезпечного вмісту, тоді як друге дозволяє викрадати дані. Примітно, що ці зараження включають додаткові заходи запобігання виявлення, такі як використання тимчасових папок і інструмент для очищення артефактів зараження після кожної атаки. Крім того, деякі з шкідливих програм маскуються під оновлення Microsoft.

Під час спостережуваних атак із залученням зловмисного програмного забезпечення, що збирає ідентифікаційні дані, вилучені дані охоплюють переміщувані профілі користувачів і електронні листи від клієнтів Microsoft Exchange.

Важливо визнати, що, враховуючи загальну тенденцію розробників зловмисного програмного забезпечення вдосконалювати своє програмне забезпечення та методи, вірогідно, що майбутні ітерації Agent Racoon матимуть розширені можливості, а зараження, пов’язані з цією програмою, можуть використовувати різні методології.