Agent Racoon Backdoor

Actori necunoscuți de amenințări au vizat în mod activ organizațiile din Orientul Mijlociu, Africa și Statele Unite, folosind o ușă din spate inedită numită Agentul Racoon. Acest malware, dezvoltat în cadrul .NET, utilizează protocolul Domain Name Service (DNS) pentru a stabili un canal ascuns, permițând diverse funcționalități backdoor.

Victimele acestor atacuri provin din diverse sectoare, inclusiv educație, imobiliare, comerț cu amănuntul, organizații nonprofit, telecomunicații și entități guvernamentale. Până acum, identitatea exactă a actorului amenințării rămâne necunoscută. Natura atacurilor, caracterizată prin selectarea victimelor și utilizarea unor tehnici sofisticate de detectare și evaziune a apărării, sugerează o potențială aliniere cu un stat național.

Instrumente malware suplimentare implementate împreună cu agentul Racoon

Actorii amenințărilor au implementat instrumente suplimentare în operațiunile lor, inclusiv o versiune personalizată a Mimikatz numită Mimilite și un utilitar nou numit Ntospy. Ntospy folosește un modul DLL personalizat care implementează un furnizor de rețea pentru a fura acreditările pentru un server la distanță.

În cadrul organizațiilor vizate, Ntospy este folosit în mod obișnuit de atacatori. Cu toate acestea, este de remarcat faptul că instrumentul Mimilite și malware-ul Agent Racoon au fost descoperite exclusiv în medii asociate cu organizații nonprofit și guvernamentale.

Este important de subliniat faptul că un grup de activități de amenințări identificate anterior a fost, de asemenea, legat de utilizarea Ntospy. Interesant este că acest adversar a vizat două organizații care au fost, de asemenea, supuse campaniei de atac Agent Racoon.

Agentul Racoon este folosit în etapele inițiale ale atacului cibernetic

Agentul Racoon funcționează ca o ușă din spate, obiectivul său principal fiind pregătirea sistemului compromis pentru infecțiile ulterioare. Malware-ul stabilește un canal de comunicare cu serverul său Command-and-Control (C2, C&C) prin protocolul DNS (Domain Name System). Agentul Racoon operează în primul rând prin sarcini programate și nu se bazează pe tehnici specifice pentru a asigura persistența. Cu toate acestea, utilizarea buclelor de comunicare atunci când interacționează cu serverul C&C poate servi ca o tactică anti-detecție, având ca scop reducerea probabilității de bruiaj a rețelei și a creșterilor de activitate.

Capacitățile Agentului Racoon includ executarea comenzilor și încărcarea și descărcarea fișierelor. Primul poate facilita infiltrarea conținutului suplimentar nesigur, în timp ce cel din urmă permite exfiltrarea datelor. În special, aceste infecții încorporează măsuri suplimentare anti-detecție, cum ar fi utilizarea de foldere temporare și un instrument pentru a șterge artefactele de infecție după fiecare atac. Mai mult, unele dintre programele rău intenționate sunt deghizate ca actualizări Microsoft.

În atacurile observate care implică colectarea de acreditări malware, datele exfiltrate cuprind profiluri de utilizatori în roaming și e-mailuri de la clienții Microsoft Exchange.

Este esențial să recunoaștem că, având în vedere tendința comună a dezvoltatorilor de programe malware care își rafina software-ul și tehnicile, este plauzibil ca viitoarele iterații ale Agent Racoon să prezinte capabilități îmbunătățite și infecții asociate cu acest program ar putea adopta diverse metodologii.