Racoon Backdoor ügynök, amelyet ismeretlen fenyegető színész telepített be
Azonosítatlan fenyegetés szereplői a közel-keleti, afrikai és egyesült államokbeli szervezeteket vették célba, hogy elterjesszék a Racoon ügynökként ismert, nemrég felfedezett hátsó ajtót. Chema Garcia, a Palo Alto Networks Unit 42 kutatója szerint ezt a rosszindulatú programváltozatot a .NET keretrendszer segítségével fejlesztették ki, és a DNS-protokoll segítségével rejtett kommunikációs csatornát hoz létre, és különféle hátsó ajtó funkciókat kínál.
Racoon ügynök különféle iparágakat céloz meg
E támadások áldozatai különböző ágazatokhoz tartoznak, beleértve az oktatást, az ingatlanügyletet, a kiskereskedelmet, a non-profit szervezeteket, a távközlést és a kormányzati szerveket. Bár a fenyegetés felelős szereplőjét továbbra sem azonosították, az áldozatok természete, valamint az alkalmazott kifinomult felderítési és védelmi kijátszási technikák egy nemzetállamhoz való lehetséges igazodásra utalnak.
A kiberbiztonsági cég figyeli ezt a CL-STA-0002 jelzésű fenyegetésfürtöt. A kompromisszum módszerével és a támadások idővonalával kapcsolatos részletek egyelőre tisztázatlanok.
Az ellenfél további eszközöket telepített, mint például a Mimikatz testreszabott változatát, a Mimilite-et és az új segédprogramot, az Ntospy-t. Az Ntospy egy egyéni DLL-modult használ, amely egy hálózati szolgáltatót valósít meg a hitelesítő adatok elrablására és távoli kiszolgálóra való továbbítására.
Míg az Ntospyt általánosan alkalmazzák az érintett szervezetekben, a Mimilite eszköz és az Agent Racoon kártevő kifejezetten non-profit és kormányzati szervezetekkel kapcsolatos környezetekben jelent meg, ahogy Garcia elmagyarázta.
Az ütemezett feladatokon keresztül végrehajtott Racoon ügynök megkönnyíti a parancsvégrehajtást, a fájlok feltöltését és letöltését, miközben a Google Update és a Microsoft OneDrive Updater binárisainak álcázza magát.
Az ehhez az implantátumhoz kapcsolódó parancs- és vezérlési (C2) infrastruktúra legalább 2020 augusztusa óta működik. A VirusTotalhoz benyújtott beadványok vizsgálata azt mutatja, hogy az Agent Racoon kártevő legkorábbi mintáját 2022 júliusában töltötték fel.