Agent Racoon Backdoor

Nepoznati akteri prijetnji aktivno napadaju organizacije na Bliskom istoku, u Africi i Sjedinjenim Državama, koristeći nova stražnja vrata pod nazivom Agent Racoon. Ovaj zlonamjerni softver, razvijen unutar okvira .NET, koristi protokol Domain Name Service (DNS) za uspostavljanje skrivenog kanala, omogućavajući različite backdoor funkcionalnosti.

Žrtve ovih napada dolaze iz različitih sektora, uključujući obrazovanje, nekretnine, maloprodaju, neprofitne organizacije, telekomunikacije i državna tijela. Zasad je nepoznat točan identitet aktera prijetnje. Priroda napada, karakterizirana odabirom žrtava i korištenjem sofisticiranih tehnika otkrivanja i izbjegavanja obrane, sugerira potencijalno svrstavanje uz nacionalnu državu.

Dodatni zlonamjerni alati postavljeni uz Agent Racoon

Akteri prijetnje su u svom radu upotrijebili dodatne alate, uključujući prilagođenu verziju Mimikatza pod nazivom Mimilite i novi uslužni program pod nazivom Ntospy. Ntospy koristi prilagođeni DLL modul koji implementira mrežnog davatelja za krađu vjerodajnica za udaljeni poslužitelj.

U svim ciljanim organizacijama, napadači obično koriste Ntospy. Međutim, važno je napomenuti da su alat Mimilite i malware Agent Racoon otkriveni isključivo u okruženjima povezanim s neprofitnim i državnim organizacijama.

Važno je naglasiti da je prethodno identificirana skupina aktivnosti prijetnje također povezana s upotrebom Ntospyja. Zanimljivo je da je ovaj protivnik ciljao dvije organizacije koje su također bile podvrgnute kampanji napada Agent Racoon.

Agent Racoon koristi se tijekom početnih faza kibernetičkog napada

Agent Racoon funkcionira kao backdoor, a njegov primarni cilj je pripremiti ugroženi sustav za naknadne infekcije. Zlonamjerni softver uspostavlja komunikacijski kanal sa svojim Command-and-Control (C2, C&C) poslužiteljem putem DNS (Domain Name System) protokola. Agent Racoon primarno djeluje kroz planirane zadatke i ne oslanja se na posebne tehnike za osiguravanje postojanosti. Međutim, njegovo korištenje komunikacijskih petlji prilikom interakcije s C&C poslužiteljem može poslužiti kao taktika protiv otkrivanja, s ciljem smanjenja vjerojatnosti ometanja mreže i skokova aktivnosti.

Mogućnosti Agent Racoona uključuju izvršavanje naredbi te učitavanje i preuzimanje datoteka. Prvi može olakšati infiltraciju dodatnog nesigurnog sadržaja, dok drugi omogućuje eksfiltraciju podataka. Značajno je da ove infekcije uključuju dodatne mjere protiv otkrivanja, poput upotrebe privremenih mapa i alata za brisanje artefakata infekcije nakon svakog napada. Štoviše, neki od zlonamjernih programa prerušeni su u Microsoftova ažuriranja.

U opaženim napadima koji uključuju zlonamjerni softver za prikupljanje vjerodajnica, eksfiltrirani podaci obuhvaćaju korisničke profile u roamingu i e-poštu s Microsoft Exchange klijenata.

Ključno je priznati da je, s obzirom na uobičajeni trend programera zlonamjernog softvera koji usavršavaju svoj softver i tehnike, vjerojatno da će buduće iteracije Agent Racoona sadržavati poboljšane mogućnosti i da bi infekcije povezane s ovim programom mogle usvojiti različite metodologije.