Agent Racoon Backdoor που αναπτύχθηκε από Unknown Threat Actor
Άγνωστοι παράγοντες απειλών έχουν στοχοποιήσει οργανισμούς στη Μέση Ανατολή, την Αφρική και τις Ηνωμένες Πολιτείες, με στόχο να διαδώσουν μια κερκόπορτα που ανακαλύφθηκε πρόσφατα, γνωστή ως Agent Racoon. Σύμφωνα με τον Chema Garcia, ερευνητή στο Palo Alto Networks Unit 42, αυτή η παραλλαγή κακόβουλου λογισμικού έχει αναπτυχθεί χρησιμοποιώντας το πλαίσιο .NET και χρησιμοποιεί το πρωτόκολλο υπηρεσίας ονόματος τομέα (DNS) για να δημιουργήσει ένα κρυφό κανάλι επικοινωνίας και να προσφέρει διάφορες λειτουργίες backdoor.
Το Agent Racoon στοχεύει σε διάφορες βιομηχανίες
Τα θύματα αυτών των επιθέσεων ανήκουν σε διάφορους τομείς, συμπεριλαμβανομένης της εκπαίδευσης, των ακινήτων, του λιανικού εμπορίου, των μη κερδοσκοπικών οντοτήτων, των τηλεπικοινωνιών και των κυβερνητικών φορέων. Αν και ο υπεύθυνος παράγοντας απειλής παραμένει άγνωστος, η φύση των θυμάτων και οι εξελιγμένες τεχνικές εντοπισμού και αμυντικής αποφυγής που χρησιμοποιούνται υποδηλώνουν μια πιθανή ευθυγράμμιση με ένα έθνος-κράτος.
Η εταιρεία κυβερνοασφάλειας παρακολουθεί αυτό το σύμπλεγμα απειλών που προσδιορίζεται ως CL-STA-0002. Οι λεπτομέρειες σχετικά με τη μέθοδο συμβιβασμού και το χρονοδιάγραμμα των επιθέσεων παραμένουν προς το παρόν ασαφείς.
Ο αντίπαλος έχει αναπτύξει πρόσθετα εργαλεία, όπως μια προσαρμοσμένη έκδοση του Mimikatz με το όνομα Mimilite και ένα νέο βοηθητικό πρόγραμμα που ονομάζεται Ntospy. Το Ntospy χρησιμοποιεί μια προσαρμοσμένη μονάδα DLL που υλοποιεί έναν πάροχο δικτύου για να κλέψει τα διαπιστευτήρια και να τα μεταδώσει σε έναν απομακρυσμένο διακομιστή.
Ενώ το Ntospy χρησιμοποιείται συνήθως σε όλους τους επηρεαζόμενους οργανισμούς, το εργαλείο Mimilite και το κακόβουλο λογισμικό Agent Racoon έχουν εμφανιστεί ειδικά σε περιβάλλοντα που σχετίζονται με μη κερδοσκοπικούς και κυβερνητικούς οργανισμούς, όπως εξηγεί ο Garcia.
Το Agent Racoon, που εκτελείται μέσω προγραμματισμένων εργασιών, διευκολύνει την εκτέλεση εντολών, τη μεταφόρτωση και τη λήψη αρχείων ενώ μεταμφιέζεται σε δυαδικά για το Google Update και το Microsoft OneDrive Updater.
Η υποδομή εντολών και ελέγχου (C2) που συνδέεται με αυτό το εμφύτευμα λειτουργεί τουλάχιστον από τον Αύγουστο του 2020. Η εξέταση των υποβολών στο VirusTotal δείχνει ότι το παλαιότερο δείγμα κακόβουλου λογισμικού Agent Racoon μεταφορτώθηκε τον Ιούλιο του 2022.
