Agent Racoon Backdoor indsat af ukendt trusselskuespiller
Uidentificerede trusselsaktører har rettet mod organisationer i Mellemøsten, Afrika og USA med det formål at udbrede en nylig opdaget bagdør kendt som Agent Racoon. Ifølge Chema Garcia, en forsker ved Palo Alto Networks Unit 42, er denne malware-variant udviklet ved hjælp af .NET frameworket og bruger domænenavneservice (DNS)-protokollen til at etablere en skjult kommunikationskanal og tilbyde forskellige bagdørsfunktioner.
Agent Racoon retter sig mod forskellige industrier
Ofrene for disse angreb tilhører forskellige sektorer, herunder uddannelse, fast ejendom, detailhandel, non-profit enheder, telekommunikation og statslige organer. Selvom den ansvarlige trusselsaktør forbliver uidentificeret, tyder ofrenes natur og de sofistikerede detektions- og forsvarunddragelsesteknikker, der anvendes, en potentiel tilpasning til en nationalstat.
Cybersikkerhedsfirmaet overvåger denne trusselklynge identificeret som CL-STA-0002. Detaljerne omkring kompromismetoden og tidslinjen for angrebene er stadig uklare på nuværende tidspunkt.
Modstanderen har implementeret yderligere værktøjer, såsom en tilpasset version af Mimikatz ved navn Mimilite og et nyt hjælpeprogram kaldet Ntospy. Ntospy bruger et brugerdefineret DLL-modul, der implementerer en netværksudbyder til at stjæle legitimationsoplysninger og overføre dem til en fjernserver.
Mens Ntospy almindeligvis anvendes på tværs af de berørte organisationer, er Mimilite-værktøjet og Agent Racoon-malwaren specifikt dukket op i miljøer forbundet med non-profit- og statslige organisationer, som forklaret af Garcia.
Agent Racoon, der udføres gennem planlagte opgaver, letter udførelse af kommandoer, filupload og download, mens den udgiver sig som binære filer til Google Update og Microsoft OneDrive Updater.
Kommando-og-kontrol-infrastrukturen (C2) knyttet til dette implantat har været i drift siden mindst august 2020. Undersøgelse af indsendelser til VirusTotal viser, at den tidligste prøve af Agent Racoon-malwaren blev uploadet i juli 2022.