Backdoor do agente Racoon implantado por ator de ameaça desconhecido
Atores de ameaças não identificados têm como alvo organizações no Oriente Médio, na África e nos Estados Unidos, com o objetivo de disseminar um backdoor recentemente descoberto conhecido como Agente Racoon. De acordo com Chema Garcia, pesquisador da Unidade 42 da Palo Alto Networks, essa variante de malware é desenvolvida usando a estrutura .NET e utiliza o protocolo de serviço de nomes de domínio (DNS) para estabelecer um canal de comunicação oculto e oferecer diversas funcionalidades de backdoor.
Agente Racoon tem como alvo vários setores
As vítimas destes ataques pertencem a vários setores, incluindo educação, imobiliário, retalho, entidades sem fins lucrativos, telecomunicações e órgãos governamentais. Embora o actor responsável pela ameaça permaneça não identificado, a natureza das vítimas e as sofisticadas técnicas de detecção e evasão de defesa utilizadas sugerem um potencial alinhamento com um Estado-nação.
A empresa de segurança cibernética está monitorando este cluster de ameaças identificado como CL-STA-0002. Os detalhes em torno do método de compromisso e do cronograma dos ataques permanecem obscuros no momento.
O adversário implantou ferramentas adicionais, como uma versão customizada do Mimikatz chamada Mimilite e um novo utilitário chamado Ntospy. O Ntospy utiliza um módulo DLL personalizado que implementa um provedor de rede para roubar credenciais e transmiti-las a um servidor remoto.
Embora o Ntospy seja comumente empregado nas organizações afetadas, a ferramenta Mimilite e o malware Agent Racoon surgiram especificamente em ambientes associados a organizações governamentais e sem fins lucrativos, conforme explicado por Garcia.
O Agent Racoon, executado por meio de tarefas agendadas, facilita a execução de comandos, upload e download de arquivos enquanto se disfarça como binário para o Google Update e o Microsoft OneDrive Updater.
A infraestrutura de comando e controle (C2) vinculada a este implante está em operação pelo menos desde agosto de 2020. O exame dos envios ao VirusTotal indica que a amostra mais antiga do malware Agent Racoon foi carregada em julho de 2022.