Agent Racoon Bakdør

Ukjente trusselaktører har aktivt rettet seg mot organisasjoner i Midtøsten, Afrika og USA, ved å bruke en ny bakdør kalt Agent Racoon. Denne skadevaren, utviklet innenfor .NET-rammeverket, bruker Domain Name Service-protokollen (DNS) for å etablere en skjult kanal, som muliggjør ulike bakdørsfunksjoner.

Ofrene for disse angrepene kommer fra ulike sektorer, inkludert utdanning, eiendom, detaljhandel, ideelle organisasjoner, telekommunikasjon og offentlige enheter. Så langt er den eksakte identiteten til trusselaktøren ukjent. Angrepenes natur, preget av utvelgelse av ofre og bruk av sofistikerte deteksjons- og forsvarsunndragelsesteknikker, antyder en potensiell tilpasning til en nasjonalstat.

Ytterligere verktøy for skadelig programvare utplassert ved siden av Agent Racoon

Trusselaktørene har distribuert ytterligere verktøy i sin operasjon, inkludert en tilpasset versjon av Mimikatz ved navn Mimilite og et nytt verktøy kalt Ntospy. Ntospy bruker en tilpasset DLL-modul som implementerer en nettverksleverandør for å stjele legitimasjon for en ekstern server.

På tvers av de målrettede organisasjonene er Ntospy ofte brukt av angriperne. Det er imidlertid bemerkelsesverdig at Mimilite-verktøyet og Agent Racoon malware utelukkende har blitt oppdaget i miljøer knyttet til ideelle organisasjoner og myndighetsrelaterte organisasjoner.

Det er viktig å markere at en tidligere identifisert trusselaktivitetsklynge også har vært knyttet til bruken av Ntospy. Interessant nok har denne motstanderen målrettet mot to organisasjoner som også ble utsatt for Agent Racoon-angrepskampanjen.

Agent Racoon brukes i de innledende stadiene av cyberangrepet

Agent Racoon fungerer som en bakdør, med hovedmålet å forberede det kompromitterte systemet for påfølgende infeksjoner. Skadevaren etablerer en kommunikasjonskanal med Command-and-Control-serveren (C2, C&C) gjennom DNS-protokollen (Domain Name System). Agent Racoon opererer først og fremst gjennom planlagte oppgaver og er ikke avhengig av spesifikke teknikker for å sikre utholdenhet. Imidlertid kan bruken av kommunikasjonsløkker når du samhandler med C&C-serveren tjene som en anti-deteksjonstaktikk, som tar sikte på å redusere sannsynligheten for nettverksjamming og aktivitetstopper.

Mulighetene til Agent Racoon inkluderer å utføre kommandoer og laste opp og laste ned filer. Førstnevnte kan lette infiltrasjon av ytterligere usikkert innhold, mens sistnevnte muliggjør dataeksfiltrering. Spesielt inkluderer disse infeksjonene ytterligere anti-deteksjonstiltak, for eksempel bruk av midlertidige mapper og et verktøy for å fjerne infeksjonsartefakter etter hvert angrep. Dessuten er noen av de ondsinnede programmene forkledd som Microsoft-oppdateringer.

I de observerte angrepene som involverer credentia-innsamling av skadelig programvare, omfatter de eksfiltrerte dataene roaming-brukerprofiler og e-poster fra Microsoft Exchange-klienter.

Det er avgjørende å erkjenne at, gitt den vanlige trenden med skadevareutviklere som foredler programvaren og teknikkene sine, er det sannsynlig at fremtidige iterasjoner av Agent Racoon vil ha forbedrede muligheter og infeksjoner knyttet til dette programmet kan ta i bruk ulike metoder.