Agent Racoon Backdoor

Neznámi aktéri hrozieb sa aktívne zameriavajú na organizácie na Blízkom východe, v Afrike a Spojených štátoch, pričom využívajú nové zadné vrátka s názvom Agent Racoon. Tento malvér, vyvinutý v rámci .NET, využíva protokol Domain Name Service (DNS) na vytvorenie skrytého kanála, ktorý umožňuje rôzne funkcie backdoor.

Obete týchto útokov pochádzajú z rôznych sektorov vrátane vzdelávania, nehnuteľností, maloobchodu, neziskových organizácií, telekomunikácií a vládnych subjektov. Presná identita aktéra hrozby zatiaľ zostáva neznáma. Povaha útokov, charakterizovaná výberom obetí a využívaním sofistikovaných techník odhaľovania a obranných únikov, naznačuje potenciálne spojenie s národným štátom.

Dodatočné malvérové nástroje nasadené popri Agent Racoon

Aktéri hrozieb nasadili do svojej prevádzky ďalšie nástroje vrátane prispôsobenej verzie Mimikatz s názvom Mimilite a nového nástroja s názvom Ntospy. Ntospy využíva vlastný modul DLL, ktorý implementuje poskytovateľa siete na krádež poverení pre vzdialený server.

Naprieč cieľovými organizáciami útočníci bežne používajú Ntospy. Je však pozoruhodné, že nástroj Mimilite a malvér Agent Racoon boli objavené výlučne v prostrediach spojených s neziskovými a vládnymi organizáciami.

Je dôležité zdôrazniť, že predtým identifikovaný klaster aktivít hrozieb bol tiež spojený s používaním Ntospy. Je zaujímavé, že tento protivník sa zameral na dve organizácie, ktoré boli tiež vystavené útočnej kampani Agent Racoon.

Agent Racoon sa používa počas počiatočných fáz kybernetického útoku

Agent Racoon funguje ako zadné vrátka, pričom jeho primárnym cieľom je pripraviť napadnutý systém na následné infekcie. Malvér vytvorí komunikačný kanál so svojím serverom Command-and-Control (C2, C&C) prostredníctvom protokolu DNS (Domain Name System). Agent Racoon primárne funguje prostredníctvom naplánovaných úloh a nespolieha sa na špecifické techniky na zabezpečenie vytrvalosti. Jeho využitie komunikačných slučiek pri interakcii so serverom C&C však môže slúžiť ako taktika proti detekcii zameraná na zníženie pravdepodobnosti zaseknutia siete a špičiek aktivity.

Možnosti Agent Racoon zahŕňajú vykonávanie príkazov a nahrávanie a sťahovanie súborov. Prvý môže uľahčiť infiltráciu ďalšieho nebezpečného obsahu, zatiaľ čo druhý umožňuje exfiltráciu údajov. Je pozoruhodné, že tieto infekcie zahŕňajú ďalšie opatrenia proti detekcii, ako je použitie dočasných priečinkov a nástroj na odstránenie artefaktov infekcie po každom útoku. Niektoré zo škodlivých programov sú navyše maskované ako aktualizácie od spoločnosti Microsoft.

V pozorovaných útokoch zahŕňajúcich malvér na zhromažďovanie poverení exfiltrované údaje zahŕňajú roamingové používateľské profily a e-maily z klientov Microsoft Exchange.

Je dôležité uznať, že vzhľadom na bežný trend vývojárov malvéru zdokonaľovať svoj softvér a techniky je pravdepodobné, že budúce iterácie Agent Racoon budú obsahovať vylepšené schopnosti a infekcie spojené s týmto programom by mohli prijať rôzne metodológie.