Agent Racoon Bakdörr

Okända hotaktörer har aktivt riktat sig mot organisationer i Mellanöstern, Afrika och USA, med hjälp av en ny bakdörr som heter Agent Racoon. Denna skadliga programvara, utvecklad inom .NET-ramverket, använder protokollet Domain Name Service (DNS) för att skapa en dold kanal, vilket möjliggör olika bakdörrsfunktioner.

Offren för dessa attacker kommer från olika sektorer, inklusive utbildning, fastigheter, detaljhandel, ideella organisationer, telekommunikation och statliga enheter. Än så länge är den exakta identiteten på hotaktören okänd. Attackernas karaktär, som kännetecknas av urvalet av offer och användningen av sofistikerade tekniker för upptäckt och försvarsundandragande, antyder en potentiell anpassning till en nationalstat.

Ytterligare verktyg för skadlig programvara distribueras tillsammans med Agent Racoon

Hotaktörerna har implementerat ytterligare verktyg i sin verksamhet, inklusive en anpassad version av Mimikatz som heter Mimilite och ett nytt verktyg som heter Ntospy. Ntospy använder en anpassad DLL-modul som implementerar en nätverksleverantör för att stjäla referenser för en fjärrserver.

Över de riktade organisationerna används Ntospy ofta av angriparna. Det är dock anmärkningsvärt att Mimilite-verktyget och Agent Racoon skadlig kod uteslutande har upptäckts i miljöer associerade med ideella och statliga relaterade organisationer.

Det är viktigt att markera att ett tidigare identifierat hotaktivitetskluster också har kopplats till användningen av Ntospy. Intressant nog har denna motståndare riktat sig mot två organisationer som också utsattes för Agent Racoon-attackkampanjen.

Agent Racoon används under de inledande stadierna av cyberattacken

Agent Racoon fungerar som en bakdörr, med dess primära mål att förbereda det komprometterade systemet för efterföljande infektioner. Skadlig programvara etablerar en kommunikationskanal med sin Command-and-Control-server (C2, C&C) genom DNS-protokollet (Domain Name System). Agent Racoon arbetar i första hand genom schemalagda uppgifter och förlitar sig inte på specifika tekniker för att säkerställa uthållighet. Dess användning av kommunikationsslingor vid interaktion med C&C-servern kan dock fungera som en antidetekteringstaktik, som syftar till att minska sannolikheten för nätverksstörning och aktivitetstoppar.

Funktionerna hos Agent Racoon inkluderar att utföra kommandon och ladda upp och ladda ner filer. Det förra kan underlätta infiltrationen av ytterligare osäkert innehåll, medan det senare möjliggör dataexfiltrering. Dessa infektioner inkluderar extra antidetekteringsåtgärder, såsom användning av tillfälliga mappar och ett verktyg för att rensa infektionsartefakter efter varje attack. Dessutom är några av de skadliga programmen förklädda som Microsoft-uppdateringar.

I de observerade attackerna som involverar insamling av skadlig programvara, omfattar den exfiltrerade informationen roaming-användarprofiler och e-postmeddelanden från Microsoft Exchange-klienter.

Det är viktigt att erkänna att, med tanke på den vanliga trenden att utvecklare av skadlig programvara förfinar sin programvara och sin teknik, är det troligt att framtida iterationer av Agent Racoon kommer att ha förbättrade möjligheter och infektioner associerade med detta program kan anta olika metoder.