Agent Racoon Backdoor

未知の攻撃者は、Agent Racoon という新しいバックドアを使用して、中東、アフリカ、米国の組織を積極的にターゲットにしています。 .NET フレームワーク内で開発されたこのマルウェアは、ドメイン ネーム サービス (DNS) プロトコルを利用して隠蔽チャネルを確立し、さまざまなバックドア機能を可能にします。

これらの攻撃の被害者は、教育、不動産、小売、非営利団体、電気通信、政府機関など、さまざまなセクターから来ています。これまでのところ、脅威アクターの正確な身元は不明のままです。被害者の選択と、高度な検出および防御回避技術の利用を特徴とする攻撃の性質は、国民国家との連携の可能性を示唆しています。

Agent Racoon とともに導入される追加のマルウェア ツール

攻撃者は、 Mimiliteという名前の Mimikatz のカスタマイズされたバージョンや、Ntospy という新しいユーティリティなど、追加のツールを運用に導入しました。 Ntospy は、リモート サーバーの資格情報を盗むネットワーク プロバイダーを実装するカスタム DLL モジュールを採用しています。

標的となった組織全体で、Ntospy は攻撃者によって一般的に使用されています。ただし、Mimilite ツールと Agent Racoon マルウェアが非営利組織および政府関連組織に関連する環境でのみ発見されたことは注目に値します。

以前に特定された脅威活動クラスターも Ntospy の使用に関連付けられていることを強調することが重要です。興味深いことに、この敵は、同じく Agent Racoon 攻撃キャンペーンの対象となった 2 つの組織をターゲットにしています。

エージェント Racoon はサイバー攻撃の初期段階で使用される

Agent Racoon はバックドアとして機能し、その主な目的は、侵害されたシステムを後続の感染に備えることです。このマルウェアは、DNS (ドメイン ネーム システム) プロトコルを通じてコマンド アンド コントロール (C2、C&C) サーバーとの通信チャネルを確立します。 Agent Racoon は主にスケジュールされたタスクを通じて動作し、永続性を確保するための特定のテクニックには依存しません。ただし、C&C サーバーと対話する際の通信ループの利用は、ネットワーク妨害やアクティビティの急増の可能性を減らすことを目的とした検出防止戦術として機能する可能性があります。

Agent Racoon の機能には、コマンドの実行、ファイルのアップロードとダウンロードが含まれます。前者は追加の安全でないコンテンツの侵入を促進する可能性があり、後者はデータの漏洩を可能にします。特に、これらの感染には、一時フォルダーの使用や、攻撃のたびに感染アーティファクトを消去するツールなど、追加の検出防止手段が組み込まれています。さらに、悪意のあるプログラムの中には、Microsoft のアップデートを装ったものもあります。

認証情報を収集するマルウェアを伴う攻撃が観察されており、流出されたデータにはローミング ユーザー プロファイルや Microsoft Exchange クライアントからの電子メールが含まれています。

マルウェア開発者がソフトウェアや技術を改良するという共通の傾向を考慮すると、Agent Racoon の将来のバージョンでは機能が強化され、このプログラムに関連する感染にはさまざまな手法が採用される可能性があることを認識することが重要です。