Agent Racoon Hintertür

Unbekannte Bedrohungsakteure haben mithilfe einer neuartigen Hintertür namens Agent Racoon aktiv Organisationen im Nahen Osten, in Afrika und in den Vereinigten Staaten ins Visier genommen. Diese innerhalb des .NET-Frameworks entwickelte Malware nutzt das Domain Name Service (DNS)-Protokoll, um einen verborgenen Kanal einzurichten, der verschiedene Backdoor-Funktionen ermöglicht.

Die Opfer dieser Angriffe kommen aus verschiedenen Sektoren, darunter Bildung, Immobilien, Einzelhandel, gemeinnützige Organisationen, Telekommunikation und Regierungsbehörden. Bisher ist die genaue Identität des Bedrohungsakteurs unbekannt. Die Art der Angriffe, die durch die Auswahl der Opfer und den Einsatz hochentwickelter Erkennungs- und Abwehrtechniken gekennzeichnet sind, lässt auf eine mögliche Ausrichtung auf einen Nationalstaat schließen.

Zusätzliche Malware-Tools werden neben dem Agent Racoon bereitgestellt

Die Bedrohungsakteure haben in ihrem Betrieb zusätzliche Tools eingesetzt, darunter eine angepasste Version von Mimikatz namens Mimilite und ein neuartiges Dienstprogramm namens Ntospy. Ntospy verwendet ein benutzerdefiniertes DLL-Modul, das einen Netzwerkanbieter implementiert, um Anmeldeinformationen für einen Remote-Server zu stehlen.

In den angegriffenen Organisationen wird Ntospy häufig von den Angreifern verwendet. Bemerkenswert ist jedoch, dass das Mimilite-Tool und die Malware Agent Racoon ausschließlich in Umgebungen entdeckt wurden, die mit gemeinnützigen und regierungsnahen Organisationen in Verbindung stehen.

Es ist wichtig hervorzuheben, dass ein zuvor identifizierter Cluster von Bedrohungsaktivitäten auch mit der Verwendung von Ntospy in Verbindung gebracht wurde. Interessanterweise hat dieser Gegner zwei Organisationen ins Visier genommen, die ebenfalls Opfer der Angriffskampagne von Agent Racoon waren.

Der Agent Racoon wird in der Anfangsphase des Cyberangriffs eingesetzt

Der Agent Racoon fungiert als Hintertür, dessen Hauptaufgabe darin besteht, das kompromittierte System auf spätere Infektionen vorzubereiten. Die Malware stellt über das DNS-Protokoll (Domain Name System) einen Kommunikationskanal mit ihrem Command-and-Control-Server (C2, C&C) her. Agent Racoon arbeitet hauptsächlich mit geplanten Aufgaben und verlässt sich nicht auf bestimmte Techniken zur Sicherstellung der Persistenz. Die Nutzung von Kommunikationsschleifen bei der Interaktion mit dem C&C-Server kann jedoch als Anti-Erkennungstaktik dienen und darauf abzielen, die Wahrscheinlichkeit von Netzwerkstörungen und Aktivitätsspitzen zu verringern.

Zu den Fähigkeiten des Agent Racoon gehören das Ausführen von Befehlen sowie das Hoch- und Herunterladen von Dateien. Ersteres kann das Eindringen zusätzlicher unsicherer Inhalte erleichtern, während Letzteres die Datenexfiltration ermöglicht. Insbesondere beinhalten diese Infektionen zusätzliche Anti-Erkennungsmaßnahmen, wie die Verwendung temporärer Ordner und ein Tool zum Löschen von Infektionsartefakten nach jedem Angriff. Darüber hinaus sind einige der Schadprogramme als Microsoft-Updates getarnt.

Bei den beobachteten Angriffen mit Malware zum Sammeln von Anmeldedaten umfassen die exfiltrierten Daten Roaming-Benutzerprofile und E-Mails von Microsoft Exchange-Clients.

Angesichts des allgemeinen Trends, dass Malware-Entwickler ihre Software und Techniken verfeinern, ist es wichtig anzuerkennen, dass es plausibel ist, dass zukünftige Versionen von Agent Racoon über verbesserte Funktionen verfügen werden und dass mit diesem Programm verbundene Infektionen unterschiedliche Methoden anwenden könnten.