Nežinomo grėsmės veikėjo dislokuotas agentas Racoon Backdoor

Neatpažinti grėsmės veikėjai nusitaikė į organizacijas Artimuosiuose Rytuose, Afrikoje ir JAV, siekdami išplatinti neseniai atrastą užpakalį, žinomą kaip agentas Racoonas. Pasak Chema Garcia, Palo Alto Networks Unit 42 tyrėjos, šis kenkėjiškų programų variantas sukurtas naudojant .NET sistemą ir naudoja domeno vardo paslaugos (DNS) protokolą, kad sukurtų paslėptą ryšio kanalą ir pasiūlytų įvairias užpakalinių durų funkcijas.

Agentas Racoon taikosi į įvairias pramonės šakas

Šių išpuolių aukos priklauso įvairiems sektoriams, įskaitant švietimą, nekilnojamąjį turtą, mažmeninę prekybą, ne pelno subjektus, telekomunikacijas ir vyriausybines institucijas. Nors atsakingas grėsmės veikėjas lieka nenustatytas, aukų prigimtis ir naudojami sudėtingi aptikimo ir gynybos vengimo būdai rodo galimą susiliejimą su nacionaline valstybe.

Kibernetinio saugumo įmonė stebi šią grėsmių grupę, identifikuotą kaip CL-STA-0002. Šiuo metu neaiškios detalės, susijusios su kompromiso metodu ir išpuolių tvarkaraščiu.

Priešas įdiegė papildomų įrankių, tokių kaip pritaikyta Mimikatz versija, pavadinta Mimilite, ir nauja programa, vadinama Ntospy. „Ntospy“ naudoja tinkintą DLL modulį, įdiegiantį tinklo teikėją, kad pavogtų kredencialus ir perduotų juos į nuotolinį serverį.

Nors „Ntospy“ dažniausiai naudojamas paveiktose organizacijose, „Mimilite“ įrankis ir „Agent Racoon“ kenkėjiška programinė įranga ypač pasirodė aplinkoje, susijusioje su ne pelno ir vyriausybinėmis organizacijomis, kaip paaiškino Garcia.

Agentas „Racoon“, vykdomas atliekant suplanuotas užduotis, palengvina komandų vykdymą, failų įkėlimą ir atsisiuntimą, prisidengdamas „Google Update“ ir „Microsoft OneDrive Updater“ dvejetainiais failais.

Su šiuo implantu susieta komandų ir valdymo (C2) infrastruktūra veikia mažiausiai nuo 2020 m. rugpjūčio mėn. Išnagrinėjus „VirusTotal“ pateiktus duomenis, nustatyta, kad anksčiausias „Agent Racoon“ kenkėjiškos programos pavyzdys buvo įkeltas 2022 m. liepos mėn.