Agent Racoon Backdoor

Actors d'amenaces desconeguts s'han dirigit activament a organitzacions de l'Orient Mitjà, Àfrica i els Estats Units, utilitzant una nova porta del darrere anomenada Agent Racoon. Aquest programari maliciós, desenvolupat dins del marc .NET, utilitza el protocol del servei de noms de domini (DNS) per establir un canal ocult, que permet diverses funcionalitats de porta posterior.

Les víctimes d'aquests atacs provenen de diversos sectors, com ara l'educació, el sector immobiliari, el comerç al detall, les organitzacions sense ànim de lucre, les telecomunicacions i les entitats governamentals. Fins ara, es desconeix la identitat exacta de l'actor de l'amenaça. La naturalesa dels atacs, caracteritzats per la selecció de víctimes i la utilització de tècniques sofisticades de detecció i evasió de defensa, suggereix una possible alineació amb un estat-nació.

Eines de programari maliciós addicionals desplegades juntament amb l'agent Racoon

Els actors de l'amenaça han desplegat eines addicionals en el seu funcionament, inclosa una versió personalitzada de Mimikatz anomenada Mimilite i una nova utilitat anomenada Ntospy. Ntospy utilitza un mòdul DLL personalitzat que implementa un proveïdor de xarxa per robar credencials per a un servidor remot.

A les organitzacions objectiu, Ntospy és utilitzat habitualment pels atacants. Tanmateix, cal destacar que l'eina Mimilite i el programari maliciós Agent Racoon s'han descobert exclusivament en entorns associats a organitzacions sense ànim de lucre i relacionades amb el govern.

És important destacar que un clúster d'activitats d'amenaça prèviament identificat també s'ha relacionat amb l'ús de Ntospy. Curiosament, aquest adversari s'ha apuntat a dues organitzacions que també van ser sotmeses a la campanya d'atac de l'Agent Racoon.

L'agent Racoon s'utilitza durant les etapes inicials del ciberatac

L'Agent Racoon funciona com una porta del darrere, amb el seu objectiu principal preparar el sistema compromès per a infeccions posteriors. El programari maliciós estableix un canal de comunicació amb el seu servidor Command-and-Control (C2, C&C) mitjançant el protocol DNS (Domain Name System). L'agent Racoon opera principalment mitjançant tasques programades i no es basa en tècniques específiques per garantir la persistència. Tanmateix, la seva utilització dels bucles de comunicació quan interactua amb el servidor C&C pot servir com a tàctica antidetecció, amb l'objectiu de reduir la probabilitat d'embussos de xarxa i pics d'activitat.

Les capacitats de l'Agent Racoon inclouen executar ordres i carregar i descarregar fitxers. El primer pot facilitar la infiltració de contingut addicional insegur, mentre que el segon permet l'exfiltració de dades. En particular, aquestes infeccions incorporen mesures antidetecció addicionals, com ara l'ús de carpetes temporals i una eina per netejar els artefactes d'infecció després de cada atac. A més, alguns dels programes maliciosos es disfressen d'actualitzacions de Microsoft.

En els atacs observats que impliquen programari maliciós per recopilar credencials, les dades exfiltrades inclouen perfils d'usuaris en itinerància i correus electrònics dels clients de Microsoft Exchange.

És crucial reconèixer que, donada la tendència comuna dels desenvolupadors de programari maliciós que perfeccionen el seu programari i tècniques, és plausible que les futures iteracions de l'Agent Racoon tinguin capacitats millorades i les infeccions associades amb aquest programa puguin adoptar metodologies diverses.