La porta sul retro dell'agente Racoon

Attori di minacce sconosciuti hanno preso di mira attivamente organizzazioni in Medio Oriente, Africa e Stati Uniti, utilizzando una nuova backdoor denominata Agent Racoon. Questo malware, sviluppato nell'ambito .NET, utilizza il protocollo Domain Name Service (DNS) per stabilire un canale nascosto, abilitando diverse funzionalità backdoor.

Le vittime di questi attacchi provengono da diversi settori, tra cui l’istruzione, il settore immobiliare, la vendita al dettaglio, le organizzazioni no-profit, le telecomunicazioni e gli enti governativi. Finora l’identità esatta dell’autore della minaccia rimane sconosciuta. La natura degli attacchi, caratterizzata dalla selezione delle vittime e dall’utilizzo di sofisticate tecniche di rilevamento ed evasione della difesa, suggerisce un potenziale allineamento con uno stato-nazione.

Ulteriori strumenti malware distribuiti insieme all'Agent Racoon

Gli autori delle minacce hanno implementato strumenti aggiuntivi nelle loro operazioni, tra cui una versione personalizzata di Mimikatz denominata Mimilite e una nuova utility chiamata Ntospy. Ntospy utilizza un modulo DLL personalizzato che implementa un provider di rete per rubare le credenziali per un server remoto.

Nelle organizzazioni prese di mira, Ntospy è comunemente utilizzato dagli aggressori. È tuttavia interessante notare che lo strumento Mimilite e il malware Agent Racoon sono stati scoperti esclusivamente in ambienti associati ad organizzazioni no-profit e legate al governo.

È importante sottolineare che anche un cluster di attività di minaccia precedentemente identificato è stato collegato all’uso di Ntospy. È interessante notare che questo avversario ha preso di mira due organizzazioni che sono state anch'esse oggetto della campagna di attacco dell'Agente Racoon.

L'Agente Racoon viene utilizzato durante le fasi iniziali dell'attacco informatico

L'Agent Racoon funziona come una backdoor, il cui obiettivo principale è preparare il sistema compromesso a successive infezioni. Il malware stabilisce un canale di comunicazione con il suo server Command-and-Control (C2, C&C) tramite il protocollo DNS (Domain Name System). L'agente Racoon opera principalmente attraverso attività pianificate e non si basa su tecniche specifiche per garantire la persistenza. Tuttavia, l'utilizzo di circuiti di comunicazione durante l'interazione con il server C&C può fungere da tattica anti-rilevamento, con l'obiettivo di ridurre la probabilità di inceppamenti della rete e picchi di attività.

Le funzionalità di Agent Racoon includono l'esecuzione di comandi e il caricamento e il download di file. Il primo può facilitare l’infiltrazione di ulteriori contenuti non sicuri, mentre il secondo consente l’esfiltrazione dei dati. In particolare, queste infezioni incorporano ulteriori misure anti-rilevamento, come l’uso di cartelle temporanee e uno strumento per eliminare gli artefatti dell’infezione dopo ogni attacco. Inoltre, alcuni programmi dannosi si mascherano da aggiornamenti Microsoft.

Negli attacchi osservati che coinvolgono malware di raccolta di credenziali, i dati esfiltrati comprendono profili utente in roaming ed e-mail provenienti da client Microsoft Exchange.

È fondamentale riconoscere che, data la tendenza comune degli sviluppatori di malware a perfezionare il proprio software e le proprie tecniche, è plausibile che le future iterazioni di Agent Racoon presenteranno funzionalità migliorate e le infezioni associate a questo programma potrebbero adottare metodologie diverse.