Backdoor dell'agente Racoon schierato da un attore della minaccia sconosciuto
Attori di minacce non identificati hanno preso di mira organizzazioni in Medio Oriente, Africa e Stati Uniti, con l'obiettivo di diffondere una backdoor scoperta di recente nota come Agent Racoon. Secondo Chema Garcia, ricercatore presso Palo Alto Networks Unit 42, questa variante del malware è sviluppata utilizzando il framework .NET e utilizza il protocollo Domain Name Service (DNS) per stabilire un canale di comunicazione nascosto e offrire diverse funzionalità backdoor.
L'agente Racoon prende di mira vari settori
Le vittime di questi attacchi appartengono a diversi settori, tra cui l'istruzione, il settore immobiliare, la vendita al dettaglio, gli enti no-profit, le telecomunicazioni e gli enti governativi. Sebbene l’autore della minaccia responsabile rimanga non identificato, la natura delle vittime e le sofisticate tecniche di rilevamento ed evasione della difesa impiegate suggeriscono un potenziale allineamento con uno stato-nazione.
La società di sicurezza informatica sta monitorando questo cluster di minacce identificato come CL-STA-0002. Al momento i dettagli relativi al metodo di compromissione e alla cronologia degli attacchi non sono chiari.
L'avversario ha implementato strumenti aggiuntivi, come una versione personalizzata di Mimikatz denominata Mimilite e una nuova utility chiamata Ntospy. Ntospy utilizza un modulo DLL personalizzato che implementa un provider di rete per rubare le credenziali e trasmetterle a un server remoto.
Mentre Ntospy è comunemente utilizzato nelle organizzazioni colpite, lo strumento Mimilite e il malware Agent Racoon sono emersi specificamente in ambienti associati a organizzazioni no-profit e governative, come spiegato da Garcia.
L'agente Racoon, eseguito tramite attività pianificate, facilita l'esecuzione dei comandi, il caricamento e il download di file mascherandosi da file binari per Google Update e Microsoft OneDrive Updater.
L'infrastruttura di comando e controllo (C2) collegata a questo impianto è operativa almeno dall'agosto 2020. L'esame delle segnalazioni a VirusTotal indica che il primo campione del malware Agent Racoon è stato caricato nel luglio 2022.