Porte dérobée de l'agent Racoon déployée par un acteur menaçant inconnu
Des acteurs malveillants non identifiés ont ciblé des organisations au Moyen-Orient, en Afrique et aux États-Unis, dans le but de diffuser une porte dérobée récemment découverte connue sous le nom d'Agent Racoon. Selon Chema Garcia, chercheur à l'unité 42 de Palo Alto Networks, cette variante de malware est développée à l'aide du framework .NET et utilise le protocole DNS (Domain Name Service) pour établir un canal de communication dissimulé et offrir diverses fonctionnalités de porte dérobée.
L'agent Racoon cible diverses industries
Les victimes de ces attaques appartiennent à divers secteurs, notamment l'éducation, l'immobilier, le commerce de détail, les entités à but non lucratif, les télécommunications et les organismes gouvernementaux. Bien que l’acteur responsable de la menace reste non identifié, la nature des victimes et les techniques sophistiquées de détection et d’évasion défensive utilisées suggèrent un alignement potentiel avec un État-nation.
La société de cybersécurité surveille ce cluster de menaces identifié comme CL-STA-0002. Les détails entourant la méthode de compromission et la chronologie des attaques restent flous pour le moment.
L'adversaire a déployé des outils supplémentaires, comme une version personnalisée de Mimikatz nommée Mimilite et un nouvel utilitaire appelé Ntospy. Ntospy utilise un module DLL personnalisé implémentant un fournisseur de réseau pour voler les informations d'identification et les transmettre à un serveur distant.
Bien que Ntospy soit couramment utilisé dans les organisations concernées, l'outil Mimilite et le malware Agent Racoon ont spécifiquement fait surface dans des environnements associés à des organisations à but non lucratif et gouvernementales, comme l'explique Garcia.
L'agent Racoon, exécuté via des tâches planifiées, facilite l'exécution des commandes, le téléchargement et le téléchargement de fichiers tout en se faisant passer pour des fichiers binaires pour Google Update et Microsoft OneDrive Updater.
L'infrastructure de commande et de contrôle (C2) liée à cet implant est opérationnelle depuis au moins août 2020. L'examen des soumissions à VirusTotal indique que le premier échantillon du malware Agent Racoon a été téléchargé en juillet 2022.