Agent Racoon Backdoor

未知的威脅行為者一直在積極針對中東、非洲和美國的組織，利用名為 Agent Racoon 的新穎後門。該惡意軟體在.NET框架內開發，利用網域服務（DNS）協定建立隱藏通道，實現多種後門功能。

這些攻擊的受害者來自不同行業，包括教育、房地產、零售、非營利組織、電信和政府實體。到目前為止，威脅行為者的確切身分仍然未知。這些攻擊的性質以受害者的選擇以及複雜的檢測和防禦規避技術的利用為特徵，這表明它們可能與民族國家結盟。

與 Agent Racoon 一起部署的其他惡意軟體工具

威脅行為者在其行動中部署了額外的工具，包括名為 Mimilite 的Mimikatz定製版本和名為 Ntospy 的新型實用程式。 Ntospy 使用自訂 DLL 模組來實作網路提供者以竊取遠端伺服器的憑證。

在目標組織中，攻擊者通常使用 Ntospy。然而，值得注意的是，Mimilite 工具和 Agent Racoon 惡意軟體僅在與非營利組織和政府相關組織相關的環境中被發現。

需要強調的是，先前發現的威脅活動群集也與 Ntospy 的使用有關。有趣的是，這個對手的目標是兩個同樣遭受了 Agent Racoon 攻擊活動的組織。

在網路攻擊的初始階段使用代理 Racoon

Agent Racoon 充當後門，其主要目標是為受感染的系統做好後續感染的準備。該惡意軟體透過 DNS（網域名稱系統）協定與其命令與控制（C2、C&C）伺服器建立通訊通道。 Agent Racoon 主要透過規劃任務進行操作，不依賴特定技術來確保持久性。然而，它在與 C&C 伺服器互動時利用通訊循環可以作為反檢測策略，旨在減少網路堵塞和活動峰值的可能性。

Agent Racoon 的功能包括執行指令以及上傳和下載檔案。前者可能會促進其他不安全內容的滲透，而後者則可能導致資料外洩。值得注意的是，這些感染包含額外的反偵測措施，例如使用臨時資料夾和在每次攻擊後清除感染工件的工具。此外，有些惡意程式偽裝成微軟更新。

在觀察到的涉及憑證收集惡意軟體的攻擊中，洩漏的資料包括漫遊使用者設定檔和來自 Microsoft Exchange 用戶端的電子郵件。

必須承認的是，鑑於惡意軟體開發人員改進其軟體和技術的普遍趨勢，Agent Racoon 的未來迭代可能會具有增強的功能，並且與該程式相關的感染可能會採用不同的方法。