Agent Racoon バックドアが未知の攻撃者によって導入される

正体不明の攻撃者は、エージェント ラクーンとして知られる最近発見されたバックドアを広めることを目的として、中東、アフリカ、米国の組織を標的にしています。パロアルトネットワークス Unit 42 の研究者 Chema Garcia 氏によると、このマルウェアの亜種は .NET フレームワークを使用して開発され、ドメイン ネーム サービス (DNS) プロトコルを利用して隠蔽通信チャネルを確立し、さまざまなバックドア機能を提供します。

Agent Racoon はさまざまな業界をターゲットにしています

これらの攻撃の被害者は、教育、不動産、小売、非営利団体、電気通信、政府機関など、さまざまなセクターに属しています。責任のある攻撃者はまだ特定されていませんが、被害者の性質と、使用されている高度な検出および防御回避技術は、国民国家との連携の可能性を示唆しています。

サイバーセキュリティ会社は、CL-STA-0002 として識別されるこの脅威クラスターを監視しています。侵害方法と攻撃のスケジュールに関する詳細は、現時点では不明です。

攻撃者は、Mimilite という名前の Mimikatz のカスタマイズされたバージョンや、Ntospy という新しいユーティリティなどの追加ツールを展開しました。 Ntospy は、ネットワーク プロバイダーを実装するカスタム DLL モジュールを利用して資格情報を盗み、リモート サーバーに送信します。

Ntospy は影響を受ける組織全体で一般的に使用されていますが、Garcia 氏の説明によると、Mimilite ツールと Agent Racoon マルウェアは非営利組織や政府組織に関連する環境で特に出現しています。

Agent Racoon は、スケジュールされたタスクを通じて実行され、Google Update および Microsoft OneDrive Updater のバイナリを装いながら、コマンドの実行、ファイルのアップロード、ダウンロードを容易にします。

このインプラントにリンクされたコマンド アンド コントロール (C2) インフラストラクチャは、少なくとも 2020 年 8 月から運用されています。VirusTotal への提出物の調査により、Agent Racoon マルウェアの最も初期のサンプルが 2022 年 7 月にアップロードされたことが示されています。