Agent Racoon Backdoor

Неизвестные злоумышленники активно атаковали организации на Ближнем Востоке, в Африке и США, используя новый бэкдор под названием Agent Racoon. Это вредоносное ПО, разработанное на платформе .NET, использует протокол службы доменных имен (DNS) для создания скрытого канала, обеспечивающего разнообразные функции бэкдора.

Жертвы этих атак происходят из различных секторов, включая образование, недвижимость, розничную торговлю, некоммерческие организации, телекоммуникации и государственные учреждения. На данный момент точная личность злоумышленника остается неизвестной. Характер атак, характеризующийся выбором жертв и использованием сложных методов обнаружения и уклонения от защиты, предполагает потенциальную связь с национальным государством.

Дополнительные вредоносные инструменты, развернутые вместе с Agent Racoon

Злоумышленники задействовали в своей операции дополнительные инструменты, в том числе модифицированную версию Mimikatz под названием Mimilite и новую утилиту под названием Ntospy. Ntospy использует специальный модуль DLL, который реализует сетевой провайдер для кражи учетных данных для удаленного сервера.

В целевых организациях злоумышленники обычно используют Ntospy. Однако примечательно, что инструмент Mimilite и вредоносное ПО Agent Racoon были обнаружены исключительно в средах, связанных с некоммерческими и государственными организациями.

Важно подчеркнуть, что ранее выявленный кластер активности угроз также был связан с использованием Ntospy. Интересно, что этот злоумышленник нацелился на две организации, которые также подверглись атаке Agent Racoon.

Агент Енот используется на начальных этапах кибератаки.

Agent Racoon действует как бэкдор, основной задачей которого является подготовка скомпрометированной системы к последующим заражениям. Вредоносная программа устанавливает канал связи со своим сервером управления (C2, C&C) через протокол DNS (система доменных имен). Агент Racoon в основном выполняет запланированные задачи и не полагается на специальные методы обеспечения устойчивости. Однако использование петель связи при взаимодействии с командным сервером может служить тактикой противодействия обнаружению, направленной на снижение вероятности помех в сети и всплесков активности.

Возможности Agent Racoon включают выполнение команд, а также загрузку и скачивание файлов. Первое может способствовать проникновению дополнительного небезопасного контента, а второе обеспечивает кражу данных. Примечательно, что эти заражения включают дополнительные меры защиты от обнаружения, такие как использование временных папок и инструмент для очистки артефактов заражения после каждой атаки. Более того, некоторые вредоносные программы маскируются под обновления Microsoft.

В наблюдаемых атаках с использованием вредоносного ПО, собирающего учетные данные, отфильтрованные данные включают перемещаемые профили пользователей и электронные письма от клиентов Microsoft Exchange.

Крайне важно признать, что, учитывая общую тенденцию разработчиков вредоносных программ к совершенствованию своего программного обеспечения и методов, вполне вероятно, что будущие версии Agent Racoon будут обладать расширенными возможностями, а инфекции, связанные с этой программой, могут использовать различные методологии.