Агент Racoon Backdoor

Неизвестни заплахи активно се насочват към организации в Близкия изток, Африка и Съединените щати, използвайки нова задна врата, наречена Agent Racoon. Този злонамерен софтуер, разработен в рамките на .NET framework, използва протокола за услугата за имена на домейни (DNS), за да установи скрит канал, позволяващ разнообразни функции на задната врата.

Жертвите на тези атаки идват от различни сектори, включително образование, недвижими имоти, търговия на дребно, нестопански организации, телекомуникации и държавни институции. Засега точната самоличност на заплахата остава неизвестна. Естеството на атаките, характеризиращо се с подбор на жертви и използване на сложни техники за откриване и избягване на защитата, предполага потенциално привеждане в съответствие с национална държава.

Допълнителни инструменти за зловреден софтуер, внедрени заедно с Agent Racoon

Актьорите на заплахата са разположили допълнителни инструменти в своята работа, включително персонализирана версия на Mimikatz , наречена Mimilite, и нова помощна програма, наречена Ntospy. Ntospy използва персонализиран DLL модул, който внедрява мрежов доставчик за кражба на идентификационни данни за отдалечен сървър.

В целевите организации Ntospy обикновено се използва от нападателите. Заслужава обаче да се отбележи, че инструментът Mimilite и зловреден софтуер Agent Racoon са открити изключително в среди, свързани с нестопански и свързани с правителството организации.

Важно е да се подчертае, че по-рано идентифициран клъстер от активност на заплаха също е свързан с използването на Ntospy. Интересното е, че този противник се е насочил към две организации, които също са били подложени на кампанията за атака на Agent Racoon.

Агентът Racoon се използва по време на началните етапи на кибератаката

Агентът Racoon функционира като задна врата, като основната му цел е да подготви компрометираната система за последващи инфекции. Злонамереният софтуер установява комуникационен канал със своя командно-контролен (C2, C&C) сървър чрез DNS (система за имена на домейни) протокол. Agent Racoon работи предимно чрез планирани задачи и не разчита на специфични техники за осигуряване на постоянство. Въпреки това, използването на комуникационни вериги при взаимодействие с C&C сървъра може да служи като тактика срещу откриване, целяща да намали вероятността от заглушаване на мрежата и пикове на активността.

Възможностите на Agent Racoon включват изпълнение на команди и качване и изтегляне на файлове. Първият може да улесни проникването на допълнително опасно съдържание, докато вторият позволява ексфилтриране на данни. Трябва да се отбележи, че тези инфекции включват допълнителни мерки срещу откриване, като например използването на временни папки и инструмент за изчистване на артефакти на инфекция след всяка атака. Освен това някои от злонамерените програми са маскирани като актуализации на Microsoft.

При наблюдаваните атаки, включващи злонамерен софтуер за събиране на удостоверения, ексфилтрираните данни обхващат роуминг потребителски профили и имейли от клиенти на Microsoft Exchange.

От решаващо значение е да се признае, че предвид общата тенденция разработчиците на злонамерен софтуер да усъвършенстват своя софтуер и техники, е правдоподобно бъдещите повторения на Agent Racoon да включват подобрени възможности и инфекциите, свързани с тази програма, да приемат различни методологии.