Agent Racoon Backdoor

未知的威胁行为者一直在积极针对中东、非洲和美国的组织，利用名为 Agent Racoon 的新颖后门。该恶意软件在.NET框架内开发，利用域名服务（DNS）协议建立隐藏通道，从而实现多种后门功能。

这些攻击的受害者来自不同行业，包括教育、房地产、零售、非营利组织、电信和政府实体。到目前为止，威胁行为者的确切身份仍然未知。这些攻击的性质以受害者的选择以及复杂的检测和防御规避技术的利用为特征，这表明它们可能与民族国家结盟。

与 Agent Racoon 一起部署的其他恶意软件工具

威胁行为者在其行动中部署了额外的工具，包括名为 Mimilite 的Mimikatz定制版本和名为 Ntospy 的新型实用程序。 Ntospy 使用自定义 DLL 模块来实现网络提供程序以窃取远程服务器的凭据。

在目标组织中，攻击者通常使用 Ntospy。然而，值得注意的是，Mimilite 工具和 Agent Racoon 恶意软件仅在与非营利组织和政府相关组织相关的环境中被发现。

需要强调的是，之前发现的威胁活动集群也与 Ntospy 的使用有关。有趣的是，这个对手的目标是两个同样遭受了 Agent Racoon 攻击活动的组织。

在网络攻击的初始阶段使用代理 Racoon

Agent Racoon 充当后门，其主要目标是为受感染的系统做好后续感染的准备。该恶意软件通过 DNS（域名系统）协议与其命令与控制（C2、C&C）服务器建立通信通道。 Agent Racoon 主要通过计划任务进行操作，不依赖特定技术来确保持久性。然而，它在与 C&C 服务器交互时利用通信循环可以作为一种反检测策略，旨在减少网络堵塞和活动峰值的可能性。

Agent Racoon 的功能包括执行命令以及上传和下载文件。前者可能会促进其他不安全内容的渗透，而后者则可能导致数据泄露。值得注意的是，这些感染包含额外的反检测措施，例如使用临时文件夹和在每次攻击后清除感染工件的工具。此外，一些恶意程序伪装成微软更新。

在观察到的涉及凭据收集恶意软件的攻击中，泄露的数据包括漫游用户配置文件和来自 Microsoft Exchange 客户端的电子邮件。

必须承认的是，鉴于恶意软件开发人员改进其软件和技术的普遍趋势，Agent Racoon 的未来迭代可能会具有增强的功能，并且与该程序相关的感染可能会采用不同的方法。