Agent Racoon Backdoor

Autores de ameaças desconhecidos têm visado ativamente organizações no Oriente Médio, na África e nos Estados Unidos, empregando um novo backdoor chamado Agente Racoon. Este malware, desenvolvido na estrutura .NET, utiliza o protocolo de serviço de nome de domínio (DNS) para estabelecer um canal oculto, permitindo diversas funcionalidades de backdoor.

As vítimas destes ataques provêm de diversos setores, incluindo educação, imobiliário, retalho, organizações sem fins lucrativos, telecomunicações e entidades governamentais. Até agora, a identidade exata do autor da ameaça permanece desconhecida. A natureza dos ataques, caracterizada pela selecção de vítimas e pela utilização de técnicas sofisticadas de detecção e evasão de defesa, sugere um alinhamento potencial com um Estado-nação.

Ferramentas Adicionais de Malware Implantadas Junto com o Agent Racoon

Os atores da ameaça implantaram ferramentas adicionais em suas operações, incluindo uma versão personalizada do Mimikatz chamada Mimilite e um novo utilitário chamado Ntospy. O Ntospy emprega um módulo DLL personalizado que implementa um provedor de rede para roubar credenciais de um servidor remoto.

Nas organizações visadas, o Ntospy é comumente usado pelos invasores. No entanto, vale ressaltar que a ferramenta Mimilite e o malware Agent Racoon foram descobertos exclusivamente em ambientes associados a organizações sem fins lucrativos e governamentais.

É importante destacar que um cluster de atividades de ameaças previamente identificado também foi vinculado ao uso do Ntospy. Curiosamente, este adversário teve como alvo duas organizações que também foram submetidas à campanha de ataque do Agente Racoon.

O Agente Racoon é Usado Durante os Estágios Iniciais do Ataque Cibernético

O Agent Racoon funciona como um backdoor, tendo como objetivo principal preparar o sistema comprometido para infecções subsequentes. O malware estabelece um canal de comunicação com seu servidor de Comando e Controle (C2, C&C) por meio do protocolo DNS (Domain Name System). O Agente Racoon opera principalmente por meio de tarefas agendadas e não depende de técnicas específicas para garantir a persistência. No entanto, a utilização de loops de comunicação ao interagir com o servidor C&C pode servir como uma tática anti-detecção, visando reduzir a probabilidade de congestionamentos de rede e picos de atividade.

Os recursos do Agent Racoon incluem a execução de comandos e o upload e download de arquivos. O primeiro pode facilitar a infiltração de conteúdo inseguro adicional, enquanto o último permite a exfiltração de dados. Notavelmente, estas infecções incorporam medidas adicionais de anti-detecção, tais como o uso de pastas temporárias e uma ferramenta para limpar artefactos de infecção após cada ataque. Além disso, alguns dos programas maliciosos estão disfarçados de atualizações da Microsoft.

Nos ataques observados envolvendo malware de coleta de credenciais, os dados exfiltrados abrangem perfis de usuários em roaming e e-mails de clientes do Microsoft Exchange.

É crucial reconhecer que, dada a tendência comum dos desenvolvedores de malware refinarem seus softwares e técnicas, é plausível que futuras iterações do Agent Racoon apresentem capacidades aprimoradas e que as infecções associadas a este programa possam adotar metodologias diversas.