Agent Racoon Backdoor

Các tác nhân đe dọa không xác định đã tích cực nhắm mục tiêu vào các tổ chức ở Trung Đông, Châu Phi và Hoa Kỳ, sử dụng một cửa hậu mới có tên Đặc vụ Racoon. Phần mềm độc hại này, được phát triển trong .NET framework, sử dụng giao thức Dịch vụ tên miền (DNS) để thiết lập một kênh ẩn, kích hoạt các chức năng cửa sau đa dạng.

Nạn nhân của các cuộc tấn công này đến từ nhiều lĩnh vực khác nhau, bao gồm giáo dục, bất động sản, bán lẻ, tổ chức phi lợi nhuận, viễn thông và các tổ chức chính phủ. Cho đến nay, danh tính chính xác của kẻ đe dọa vẫn chưa được xác định. Bản chất của các cuộc tấn công, đặc trưng bởi việc lựa chọn nạn nhân và sử dụng các kỹ thuật phát hiện và phòng thủ tinh vi, cho thấy sự liên kết tiềm năng với một quốc gia.

Các công cụ phần mềm độc hại bổ sung được triển khai cùng với Agent Racoon

Những kẻ đe dọa đã triển khai các công cụ bổ sung trong hoạt động của chúng, bao gồm một phiên bản tùy chỉnh của Mimikatz có tên Mimilite và một tiện ích mới có tên Ntospy. Ntospy sử dụng mô-đun DLL tùy chỉnh triển khai nhà cung cấp mạng để lấy cắp thông tin xác thực cho máy chủ từ xa.

Trên khắp các tổ chức mục tiêu, Ntospy thường được những kẻ tấn công sử dụng. Tuy nhiên, điều đáng chú ý là công cụ Mimilite và phần mềm độc hại Agent Racoon chỉ được phát hiện trong các môi trường liên quan đến các tổ chức phi lợi nhuận và liên quan đến chính phủ.

Điều quan trọng cần nhấn mạnh là cụm hoạt động đe dọa được xác định trước đó cũng có liên quan đến việc sử dụng Ntospy. Điều thú vị là kẻ thù này đã nhắm tới hai tổ chức cũng là đối tượng của chiến dịch tấn công Đặc vụ Racoon.

Đặc vụ Racoon được sử dụng trong giai đoạn đầu của cuộc tấn công mạng

Đặc vụ Racoon hoạt động như một cửa hậu, với mục tiêu chính là chuẩn bị cho hệ thống bị xâm nhập trước những đợt lây nhiễm tiếp theo. Phần mềm độc hại thiết lập một kênh liên lạc với máy chủ Command-and-Control (C2, C&C) thông qua giao thức DNS (Hệ thống tên miền). Đặc vụ Racoon chủ yếu hoạt động thông qua các nhiệm vụ theo lịch trình và không dựa vào các kỹ thuật cụ thể để đảm bảo tính bền bỉ. Tuy nhiên, việc sử dụng các vòng liên lạc khi tương tác với máy chủ C&C có thể đóng vai trò như một chiến thuật chống phát hiện, nhằm giảm khả năng gây nhiễu mạng và tăng đột biến hoạt động.

Các khả năng của Đặc vụ Racoon bao gồm thực thi các lệnh cũng như tải lên và tải xuống các tệp. Cái trước có thể tạo điều kiện thuận lợi cho việc xâm nhập thêm nội dung không an toàn, trong khi cái sau cho phép lọc dữ liệu. Đáng chú ý, những sự lây nhiễm này kết hợp các biện pháp chống phát hiện bổ sung, chẳng hạn như sử dụng các thư mục tạm thời và một công cụ để xóa các tạo phẩm lây nhiễm sau mỗi cuộc tấn công. Hơn nữa, một số chương trình độc hại được ngụy trang dưới dạng các bản cập nhật của Microsoft.

Trong các cuộc tấn công được quan sát liên quan đến phần mềm độc hại thu thập thông tin xác thực, dữ liệu bị rò rỉ bao gồm hồ sơ người dùng chuyển vùng và email từ máy khách Microsoft Exchange.

Điều quan trọng là phải thừa nhận rằng, dựa trên xu hướng chung là các nhà phát triển phần mềm độc hại đang tinh chỉnh phần mềm và kỹ thuật của họ, rất có thể các phiên bản Agent Racoon trong tương lai sẽ có các tính năng nâng cao và việc lây nhiễm liên quan đến chương trình này có thể áp dụng các phương pháp đa dạng.