Agent Racoon惡意後門攻擊中東、非洲等國組織

Palo Alto Networks Unit 42研究員Chema Garcia在一份週五的分析中表示：「這個惡意軟體系列是使用.NET框架編寫的，利用網域服務（DNS）協定創建一個隱密通道，並提供不同的後門功能。 」

攻擊的目標涵蓋了教育、房地產、零售、非營利組織、電信和政府等各個領域。儘管尚未將這項活動歸咎於已知的威脅行為者，但根據受害者模式以及使用的偵測和防禦逃避技術，可以判斷其與一個國家實體相關。

這家網路安全該公司將該集群命名為CL-STA-0002，並對其進行追蹤。目前尚不清楚這些組織是如何被攻破的，以及攻擊發生的時間。

攻擊者使用的其他工具包括定製版本的Mimikatz，稱為Mimilite，以及一種名為Ntospy的新實用程序，該實用程式利用實施了網路提供者的自訂DLL模組來竊取遠端伺服器的憑證。

Garcia解釋道：“雖然攻擊者通常在受影響的組織中使用Ntospy，但Mimilite工具和Agent Racoon惡意軟體僅在非營利組織和政府相關組織的環境中發現。”

值得注意的是，先前已確認的威脅活動群集CL-STA-0043也與Ntospy的使用有關，攻擊者也針對兩個被CL-STA-0002攻擊過的組織進行了攻擊。

Agent Racoon透過排程任務執行，允許執行命令、上傳和下載文件，並偽裝成Google Update和Microsoft OneDrive Updater二進位檔案。

與植入物相關的命令和控制（C2）基礎設施至少可以追溯到2020年8月。對Agent Racoon樣本的VirusTotal提交進行的檢查顯示，最早的樣本是在2022年7月上傳的。

Unit 42表示，他們也發現了從Microsoft Exchange Server環境成功竊取符合不同搜尋條件的電子郵件的資料外洩的證據。也發現威脅行為者竊取受害者的漫遊設定檔。

Garcia表示：“這個工具集尚未與特定的威脅行為者關聯，並且不完全限於一個單獨的集群或攻擊活動。”