Agent Racoon Backdoor utplacerad av okänd hotskådespelare
Oidentifierade hotaktörer har riktat sig mot organisationer i Mellanöstern, Afrika och USA, i syfte att sprida en nyligen upptäckt bakdörr känd som Agent Racoon. Enligt Chema Garcia, en forskare vid Palo Alto Networks Unit 42, är denna malware-variant utvecklad med .NET-ramverket och använder protokollet för domännamnstjänster (DNS) för att etablera en dold kommunikationskanal och erbjuda olika bakdörrsfunktioner.
Agent Racoon riktar sig till olika branscher
Offren för dessa attacker tillhör olika sektorer, inklusive utbildning, fastigheter, detaljhandel, ideella enheter, telekommunikation och statliga organ. Även om den ansvariga hotaktören förblir oidentifierad, tyder offrens natur och de sofistikerade detekterings- och försvarsundandragande teknikerna på en potentiell anpassning till en nationalstat.
Cybersäkerhetsföretaget övervakar detta hotkluster som identifieras som CL-STA-0002. Detaljerna kring kompromissmetoden och tidslinjen för attackerna är för närvarande oklara.
Motståndaren har distribuerat ytterligare verktyg, såsom en anpassad version av Mimikatz som heter Mimilite och ett nytt verktyg som heter Ntospy. Ntospy använder en anpassad DLL-modul som implementerar en nätverksleverantör för att stjäla referenser och överföra dem till en fjärrserver.
Medan Ntospy är vanligt förekommande i de drabbade organisationerna, har Mimilite-verktyget och Agent Racoon skadlig kod specifikt dykt upp i miljöer associerade med ideella och statliga organisationer, som förklarats av Garcia.
Agent Racoon, som körs genom schemalagda uppgifter, underlättar kommandoexekvering, filuppladdning och nedladdning samtidigt som den maskerar sig som binärfiler för Google Update och Microsoft OneDrive Updater.
Kommando-och-kontroll-infrastrukturen (C2) kopplad till detta implantat har varit i drift sedan åtminstone augusti 2020. Granskning av inlämningar till VirusTotal indikerar att det tidigaste provet av Agent Racoon skadlig kod laddades upp i juli 2022.