Organisaties in het Midden-Oosten, Afrika en de VS zijn het doelwit geweest van een onbekende dreigingsactoren om een nieuwe achterdeur te verspreiden, genaamd Agent Racoon.
“Deze malwarefamilie is geschreven met behulp van het .NET-framework en maakt gebruik van het DNS-protocol (Domain Name Service) om een geheim kanaal te creëren en verschillende achterdeurfunctionaliteiten te bieden”, zei Chema Garcia, onderzoeker van Palo Alto Networks Unit 42, in een analyse van vrijdag.
Doelwitten van de aanvallen omvatten verschillende sectoren, zoals het onderwijs, onroerend goed, detailhandel, non-profitorganisaties, telecom en overheden. De activiteit is niet toegeschreven aan een bekende dreigingsacteur, hoewel wordt aangenomen dat het om een natiestaat gaat, vanwege het slachtofferschapspatroon en de gebruikte detectie- en verdedigingsontwijkingstechnieken.
Het cyberbeveiligingsbedrijf volgt het cluster onder de naam CL-STA-0002. Het is momenteel niet duidelijk hoe deze organisaties werden geschonden en wanneer de aanvallen plaatsvonden.
Enkele van de andere tools die door de tegenstander worden ingezet, zijn onder meer een aangepaste versie van Mimikatz genaamd Mimilite, evenals een nieuw hulpprogramma genaamd Ntospy, dat gebruik maakt van een aangepaste DLL-module die een netwerkprovider implementeert om inloggegevens van een externe server te stelen.
“Hoewel de aanvallers Ntospy vaak gebruikten in de getroffen organisaties, zijn de Mimilite-tool en de Agent Racoon-malware alleen aangetroffen in omgevingen van non-profitorganisaties en overheidsgerelateerde organisaties”, legt Garcia uit.
Het is de moeite waard om erop te wijzen dat een eerder geïdentificeerd cluster van bedreigingsactiviteiten, bekend als CL-STA-0043, ook in verband is gebracht met het gebruik van Ntospy, waarbij de tegenstander zich ook richt op twee organisaties die het doelwit zijn van CL-STA-0002.
Agent Raccoon, uitgevoerd door middel van geplande taken, maakt het uitvoeren van opdrachten, het uploaden van bestanden en het downloaden van bestanden mogelijk, terwijl hij zichzelf vermomt als binaire bestanden van Google Update en Microsoft OneDrive Updater.
De command-and-control (C2)-infrastructuur die in verband met het implantaat wordt gebruikt, dateert van ten minste augustus 2020. Uit een onderzoek van VirusTotal-inzendingen van de Agent Racoon-artefacten blijkt dat het vroegste monster in juli 2022 werd geüpload.
Unit 42 zei dat het ook bewijs heeft gevonden van succesvolle data-exfiltratie uit Microsoft Exchange Server-omgevingen, resulterend in de diefstal van e-mails die aan verschillende zoekcriteria voldoen. Er is ook vastgesteld dat de bedreigingsacteur het roamingprofiel van slachtoffers verzamelt.
“Deze toolset is nog niet gekoppeld aan een specifieke dreigingsacteur, en niet volledig beperkt tot een enkel cluster of campagne”, aldus Garcia.
