Agent Racoon Backdoor

Непознати актери претњи су активно циљали организације на Блиском истоку, Африци и Сједињеним Државама, користећи нови бацкдоор под називом Агент Рацоон. Овај малвер, развијен у оквиру .НЕТ оквира, користи протокол услуге имена домена (ДНС) да успостави скривени канал, омогућавајући различите бацкдоор функционалности.

Жртве ових напада долазе из различитих сектора, укључујући образовање, некретнине, малопродају, непрофитне организације, телекомуникације и владине субјекте. За сада, тачан идентитет актера претње остаје непознат. Природа напада, које карактерише одабир жртава и коришћење софистицираних техника откривања и избегавања одбране, сугерише потенцијално усклађивање са националном државом.

Додатни алати за малвер распоређени уз Агент Рацоон

Актери претњи су применили додатне алате у свом раду, укључујући прилагођену верзију Мимикатза под називом Мимилите и нови услужни програм под називом Нтоспи. Нтоспи користи прилагођени ДЛЛ модул који имплементира мрежног провајдера за крађу акредитива за удаљени сервер.

У свим циљаним организацијама, Нтоспи обично користе нападачи. Међутим, вреди напоменути да су алатка Мимилите и малвер Агент Рацоон откривени искључиво у окружењима повезаним са непрофитним и владиним организацијама.

Важно је нагласити да је претходно идентификована група активности претњи такође повезана са употребом Нтоспи-а. Занимљиво је да је овај противник циљао две организације које су такође биле подвргнуте кампањи напада на Агент Рацоон.

Агент Рацоон се користи током почетних фаза сајбер напада

Агент Рацоон функционише као бацкдоор, са примарним циљем да припреми угрожени систем за накнадне инфекције. Малвер успоставља комуникациони канал са својим сервером за команду и контролу (Ц2, Ц&Ц) преко ДНС (Домаин Наме Систем) протокола. Агент Рацоон првенствено ради кроз заказане задатке и не ослања се на специфичне технике за обезбеђивање упорности. Међутим, његово коришћење комуникационих петљи приликом интеракције са Ц&Ц сервером може послужити као тактика против откривања, са циљем да се смањи вероватноћа ометања мреже и скокова активности.

Могућности Агент Рацоон-а укључују извршавање команди и отпремање и преузимање датотека. Први може олакшати инфилтрацију додатног небезбедног садржаја, док други омогућава ексфилтрацију података. Посебно, ове инфекције укључују додатне мере против откривања, као што је употреба привремених фасцикли и алата за брисање артефаката инфекције након сваког напада. Штавише, неки од злонамерних програма су прерушени у Мицрософт ажурирања.

У уоченим нападима који укључују прикупљање акредитива малвера, ексфилтрирани подаци обухватају роминг корисничке профиле и е-пошту од Мицрософт Екцханге клијената.

Од кључног је значаја признати да је, с обзиром на уобичајени тренд развоја софтвера и техника малвера, могуће да ће будуће итерације Агент Рацоон-а имати побољшане могућности и инфекције повезане са овим програмом могу усвојити различите методологије.