Agent Racoon Backdoor ingezet door onbekende bedreigingsacteur
Niet-geïdentificeerde dreigingsactoren hebben zich gericht op organisaties in het Midden-Oosten, Afrika en de Verenigde Staten, met als doel een onlangs ontdekte achterdeur te verspreiden die bekend staat als Agent Racoon. Volgens Chema Garcia, onderzoeker bij Palo Alto Networks Unit 42, is deze malwarevariant ontwikkeld met behulp van het .NET-framework en gebruikt het het DNS-protocol (Domain Name Service) om een verborgen communicatiekanaal tot stand te brengen en diverse achterdeurfunctionaliteiten te bieden.
Agent Racoon richt zich op verschillende industrieën
De slachtoffers van deze aanvallen behoren tot verschillende sectoren, waaronder het onderwijs, de vastgoedsector, de detailhandel, non-profitorganisaties, telecommunicatie en overheidsinstanties. Hoewel de verantwoordelijke dreigingsactoren nog steeds niet geïdentificeerd zijn, duiden de aard van de slachtoffers en de gebruikte geavanceerde detectie- en verdedigingsontwijkingstechnieken op een mogelijke aansluiting bij een natiestaat.
Het cyberbeveiligingsbedrijf houdt toezicht op dit dreigingscluster, geïdentificeerd als CL-STA-0002. De details rond de compromismethode en de tijdlijn van de aanvallen blijven op dit moment onduidelijk.
De tegenstander heeft extra tools ingezet, zoals een aangepaste versie van Mimikatz genaamd Mimilite en een nieuw hulpprogramma genaamd Ntospy. Ntospy maakt gebruik van een aangepaste DLL-module die een netwerkprovider implementeert om inloggegevens te stelen en deze naar een externe server te verzenden.
Hoewel Ntospy algemeen wordt gebruikt in de getroffen organisaties, zijn de Mimilite-tool en de Agent Racoon-malware specifiek opgedoken in omgevingen die verband houden met non-profit- en overheidsorganisaties, zoals uitgelegd door Garcia.
Agent Racoon, uitgevoerd via geplande taken, vergemakkelijkt de uitvoering van opdrachten, het uploaden en downloaden van bestanden, terwijl hij zich voordoet als binaire bestanden voor Google Update en Microsoft OneDrive Updater.
De command-and-control (C2)-infrastructuur die aan dit implantaat is gekoppeld, is in ieder geval sinds augustus 2020 in gebruik. Uit onderzoek van de inzendingen bij VirusTotal blijkt dat het eerste voorbeeld van de Agent Racoon-malware in juli 2022 is geüpload.