Backdoor agenta Racoon zainstalowany przez nieznanego aktora zagrażającego
Niezidentyfikowani aktorzy zagrażający obrali za cel organizacje na Bliskim Wschodzie, w Afryce i Stanach Zjednoczonych, a ich celem było rozpowszechnienie niedawno odkrytego backdoora znanego jako Agent Racoon. Według Chemy Garcii, badacza z Palo Alto Networks Unit 42, ten wariant szkodliwego oprogramowania został opracowany przy użyciu platformy .NET i wykorzystuje protokół usługi nazw domen (DNS) w celu ustanowienia ukrytego kanału komunikacji i oferowania różnorodnych funkcji backdoora.
Agent Racoon atakuje różne branże
Ofiary tych ataków należą do różnych sektorów, w tym edukacji, nieruchomości, handlu detalicznego, podmiotów non-profit, telekomunikacji i organów rządowych. Chociaż odpowiedzialny podmiot zagrażający pozostaje niezidentyfikowany, charakter ofiar oraz zastosowane wyrafinowane techniki wykrywania i unikania obrony sugerują potencjalne powiązanie z państwem narodowym.
Firma zajmująca się cyberbezpieczeństwem monitoruje ten klaster zagrożeń zidentyfikowany jako CL-STA-0002. Szczegóły dotyczące metody kompromisu i harmonogramu ataków pozostają obecnie niejasne.
Przeciwnik wdrożył dodatkowe narzędzia, takie jak dostosowaną wersję Mimikatz o nazwie Mimilite oraz nowe narzędzie o nazwie Ntospy. Ntospy wykorzystuje niestandardowy moduł DLL wdrażający dostawcę sieci w celu kradzieży danych uwierzytelniających i przesyłania ich na zdalny serwer.
Chociaż narzędzie Ntospy jest powszechnie stosowane w organizacjach, których dotyczy problem, narzędzie Mimilite i złośliwe oprogramowanie Agent Racoon pojawiły się szczególnie w środowiskach powiązanych z organizacjami non-profit i organizacjami rządowymi, jak wyjaśnił Garcia.
Agent Racoon, wykonywany poprzez zaplanowane zadania, ułatwia wykonywanie poleceń, przesyłanie i pobieranie plików, udając pliki binarne dla Google Update i Microsoft OneDrive Updater.
Infrastruktura dowodzenia i kontroli (C2) powiązana z tym implantem działa co najmniej od sierpnia 2020 r. Analiza zgłoszeń do VirusTotal wskazuje, że najwcześniejsza próbka szkodliwego oprogramowania Agent Racoon została przesłana w lipcu 2022 r.