Agent Racoon Backdoor

알려지지 않은 위협 행위자는 Agent Racoon이라는 새로운 백도어를 사용하여 중동, 아프리카 및 미국의 조직을 적극적으로 표적으로 삼았습니다. .NET 프레임워크 내에서 개발된 이 악성 코드는 DNS(도메인 이름 서비스) 프로토콜을 활용하여 숨겨진 채널을 설정하고 다양한 백도어 기능을 활성화합니다.

이러한 공격의 피해자는 교육, 부동산, 소매, 비영리 단체, 통신, 정부 기관 등 다양한 부문에 속해 있습니다. 현재까지 위협 행위자의 정확한 신원은 알려지지 않았습니다. 희생자를 선택하고 정교한 탐지 및 방어 회피 기술을 활용하는 공격의 성격은 잠재적으로 민족 국가와 연계되어 있음을 시사합니다.

Agent Racoon과 함께 배포된 추가 악성코드 도구

위협 행위자들은 Mimilite라는 Mimikatz 의 맞춤형 버전과 Ntospy라는 새로운 유틸리티를 포함하여 추가 도구를 작전에 배포했습니다. Ntospy는 원격 서버의 자격 증명을 훔치기 위해 네트워크 공급자를 구현하는 사용자 지정 DLL 모듈을 사용합니다.

공격자는 표적 조직 전체에서 Ntospy를 일반적으로 사용합니다. 다만, Mimilite 툴과 Agent Racoon 악성코드는 비영리 기관 및 정부 관련 기관과 관련된 환경에서만 발견되었다는 점은 주목할 만합니다.

이전에 식별된 위협 활동 클러스터도 Ntospy 사용과 연결되어 있다는 점을 강조하는 것이 중요합니다. 흥미롭게도 이 공격자는 Agent Racoon 공격 캠페인의 대상이 된 두 조직을 표적으로 삼았습니다.

Racoon 요원은 사이버 공격의 초기 단계에서 사용됩니다.

Agent Racoon은 백도어 역할을 하며, 주요 목적은 손상된 시스템의 후속 감염을 준비하는 것입니다. 악성코드는 DNS(Domain Name System) 프로토콜을 통해 명령 및 제어(C2, C&C) 서버와 통신 채널을 설정합니다. Racoon 에이전트는 주로 예약된 작업을 통해 작동하며 지속성을 보장하기 위해 특정 기술에 의존하지 않습니다. 그러나 C&C 서버와 상호 작용할 때 통신 루프를 활용하면 네트워크 방해 및 활동 급증 가능성을 줄이는 것을 목표로 하는 탐지 방지 전술의 역할을 할 수 있습니다.

Agent Racoon의 기능에는 명령 실행, 파일 업로드 및 다운로드가 포함됩니다. 전자는 안전하지 않은 추가 콘텐츠의 침투를 촉진할 수 있는 반면, 후자는 데이터 유출을 가능하게 합니다. 특히 이러한 감염에는 임시 폴더 사용 및 각 공격 후 감염 아티팩트를 지우는 도구와 같은 추가적인 탐지 방지 조치가 포함되어 있습니다. 또한 일부 악성 프로그램은 Microsoft 업데이트로 위장하고 있습니다.

자격 증명 수집 악성 코드와 관련된 공격이 관찰된 경우, 유출된 데이터에는 Microsoft Exchange 클라이언트의 로밍 사용자 프로필과 이메일이 포함됩니다.

소프트웨어와 기술을 개선하는 맬웨어 개발자의 일반적인 추세를 고려할 때 Agent Racoon의 향후 반복은 향상된 기능을 특징으로 하며 이 프로그램과 관련된 감염은 다양한 방법론을 채택할 수 있다는 점을 인정하는 것이 중요합니다.