Agent Racoon Backdoor utplassert av ukjent trusselskuespiller

Uidentifiserte trusselaktører har målrettet organisasjoner i Midtøsten, Afrika og USA, med sikte på å spre en nylig oppdaget bakdør kjent som Agent Racoon. I følge Chema Garcia, en forsker ved Palo Alto Networks Unit 42, er denne malware-varianten utviklet ved hjelp av .NET-rammeverket og bruker domenenavntjenesteprotokollen (DNS) for å etablere en skjult kommunikasjonskanal og tilby ulike bakdørsfunksjoner.

Agent Racoon retter seg mot ulike bransjer

Ofrene for disse angrepene tilhører ulike sektorer, inkludert utdanning, eiendom, detaljhandel, ideelle organisasjoner, telekommunikasjon og statlige organer. Selv om den ansvarlige trusselaktøren forblir uidentifisert, antyder ofrenes natur og de sofistikerte deteksjons- og forsvarsunndragelsesteknikkene som brukes, en potensiell tilpasning til en nasjonalstat.

Nettsikkerhetsfirmaet overvåker denne trusselklyngen identifisert som CL-STA-0002. Detaljene rundt metoden for kompromiss og tidslinjen for angrepene er foreløpig uklare.

Motstanderen har distribuert flere verktøy, for eksempel en tilpasset versjon av Mimikatz kalt Mimilite og et nytt verktøy kalt Ntospy. Ntospy bruker en tilpasset DLL-modul som implementerer en nettverksleverandør for å stjele legitimasjon og overføre dem til en ekstern server.

Mens Ntospy ofte brukes på tvers av de berørte organisasjonene, har Mimilite-verktøyet og Agent Racoon-malwaren spesifikt dukket opp i miljøer knyttet til ideelle og statlige organisasjoner, som forklart av Garcia.

Agent Racoon, utført gjennom planlagte oppgaver, forenkler kommandoutførelse, filopplasting og nedlasting mens den utgir seg som binærfiler for Google Update og Microsoft OneDrive Updater.

Kommando-og-kontroll-infrastrukturen (C2) knyttet til dette implantatet har vært i drift siden minst august 2020. Undersøkelse av innsendinger til VirusTotal indikerer at den tidligste prøven av Agent Racoon-skadevare ble lastet opp i juli 2022.