由未知威胁发起者部署的 Agent Racoon 后门

身份不明的威胁行为者以中东、非洲和美国的组织为目标，旨在传播最近发现的名为 Agent Racoon 的后门。 Palo Alto Networks Unit 42 研究员 Chema Garcia 表示，该恶意软件变种使用 .NET 框架开发，利用域名服务 (DNS) 协议建立隐藏的通信通道并提供多种后门功能。

Agent Racoon 针对各个行业

这些攻击的受害者来自各个行业，包括教育、房地产、零售、非营利实体、电信和政府机构。尽管负责任的威胁行为者仍未确定，但受害者的性质以及所采用的复杂检测和防御规避技术表明其可能与民族国家结盟。

该网络安全公司正在监控这个标识为 CL-STA-0002 的威胁集群。目前，有关入侵方法和攻击时间表的细节仍不清楚。

攻击者部署了其他工具，例如名为 Mimilite 的 Mimikatz 定制版本和名为 Ntospy 的新实用程序。 Ntospy 利用实现网络提供商的自定义 DLL 模块来窃取凭据并将其传输到远程服务器。

Garcia 解释说，虽然 Ntospy 在受影响的组织中普遍使用，但 Mimilite 工具和 Agent Racoon 恶意软件特别出现在与非营利组织和政府组织相关的环境中。

Agent Racoon 通过计划任务执行，有助于命令执行、文件上传和下载，同时伪装成 Google Update 和 Microsoft OneDrive Updater 的二进制文件。

与该植入程序相关的命令与控制 (C2) 基础设施至少自 2020 年 8 月起就开始运行。对 VirusTotal 提交内容的检查表明，Agent Racoon 恶意软件的最早样本于 2022 年 7 月上传。