Ένα νέο κακόβουλο λογισμικό με το όνομα «Agent Raccoon» (ή Agent Racoon) χρησιμοποιείται σε κυβερνοεπιθέσεις εναντίον οργανισμών σ
τι
ς Ηνωμένες Πολιτείες, τη Μέση Ανατολή και την Αφρική.
Οι επιτιθέμενοι πιστεύεται ότι είναι παράγοντες απειλών εθνικών κρατών που ανακαλύφθηκαν από τη Μονάδα 42 του Δικτύου Palo Alto, η οποία αναφέρει ότι βλέπει θύματα σε διάφορους τομείς, όπως η κυβέρνηση, οι τηλεπικοινωνίες, η εκπαίδευση, η ακίνητη περιουσία, το λιανικό εμπόριο και οι μη κερδοσκοπικοί οργανισμοί.
«Αξιολογούμε με μέτρια σιγουριά ότι αυτό το σύμπλεγμα δραστηριοτήτων απειλής ευθυγραμμίζεται με παράγοντες απειλών που σχετίζονται με έθνη-κράτη λόγω της φύσης των οργανισμών που παραβιάστηκαν, των TTP που παρατηρήθηκαν και της προσαρμογής του συνόλου εργαλείων», εξηγούν οι ερευνητές της Μονάδας 42.
«Δεν έχουμε επιβεβαιώσει ένα συγκεκριμένο έθνος-κράτος ή ομάδα απειλής».
Η επιλογή των στόχων, η φύση των εργαλείων που έχουν αναπτυχθεί, οι μέθοδοι διείσδυσης δεδομένων, οι στοχευμένες πληροφορίες και ο κρυφός χαρακτήρας των επιθέσεων υποδηλώνουν ότι στόχος τους είναι η κατασκοπεία.
Agent Raccoon backdoor
Το Agent Raccoon είναι ένα κακόβουλο λογισμικό .NET μεταμφιεσμένο σε Google Update ή Microsoft OneDrive Updater που αξιοποιεί το πρωτόκολλο DNS (Domain Name Service) για να δημιουργήσει ένα κρυφό κανάλι
επικοινωνία
ς με την υποδομή C2 (εντολή και έλεγχος) των εισβολέων.
Το backdoor δημιουργεί ερωτήματα με υποτομείς με κωδικοποίηση Punycode για αποφυγή, ενώ περιλαμβάνει επίσης τυχαίες τιμές για να κάνει τις επικοινωνίες πιο δύσκολο να παρακολουθούνται.
Δείγμα ερωτήματος DNS
(Μονάδα 42)
Σημειώσεις ενότητας 42
ότι ενώ το ίδιο το κακόβουλο λογισμικό στερείται μηχανισμού επιμονής, οι παρατηρήσεις τους υποδηλώνουν ότι εκτελείται από προγραμματισμένες εργασίες.
Το κακόβουλο λογισμικό είναι ικανό για απομακρυσμένη εκτέλεση εντολών, μεταφόρτωση και λήψη αρχείων και παροχή απομακρυσμένης πρόσβασης στο μολυσμένο σύστημα.
Οι αναλυτές σημειώνουν επίσης ότι έχουν καταγράψει διαφορετικά δείγματα του Agent Raccoon με μικρές παραλλαγές κώδικα και βελτιστοποιήσεις στις ρυθμίσεις του, υποδεικνύοντας ότι οι δημιουργοί του κακόβουλου λογισμικού το αναπτύσσουν ενεργά και το προσαρμόζουν σε συγκεκριμένες λειτουργικές απαιτήσεις.
Άλλα μοναδικά εργαλεία
Εκτός από τον Πράκτορα Raccoon, οι επιτιθέμενοι χρησιμοποίησαν επίσης μια προσαρμοσμένη έκδοση του βοηθητικού προγράμματος απομάκρυνσης διαπιστευτηρίων Mimikatz, με την ονομασία «Mimilite», και έναν κλέφτη διαπιστευτηρίων DLL που μιμείται τη μονάδα παροχής δικτύου των Windows, με το όνομα «Ntospy».
Το Ntospy εγγράφεται ως μια νόμιμη μονάδα παροχής δικτύου με το όνομα “credman” για να παραβιάσει τη διαδικασία ελέγχου ταυτότητας και να καταγράψει τα διαπιστευτήρια χρήστη, μια καλά τεκμηριωμένη μέθοδο επίθεσης.
Εντολή μητρώου για τη ρύθμιση του Credman
(Μονάδα 42)
Αυτό το εργαλείο, επίσης, χρησιμοποιεί ονόματα αρχείων που μοιάζουν με αρχεία του Microsoft Update και αποθηκεύει τα διαπιστευτήρια που έχουν υποκλαπεί σε μορφή απλού κειμένου τοπικά στη
συσκευή
που έχει παραβιαστεί.
Τέλος, οι εισβολείς χρησιμοποιούν συμπληρωματικά προγράμματα PowerShell για να κλέψουν μηνύματα ηλεκτρονικού ταχυδρομείου από διακομιστές Microsoft Exchange ή να κλέψουν τους φακέλους Roaming
Profile
των θυμάτων, συμπιέζοντας τον κατάλογο με 7-Zip για αποτελεσματικότητα και μυστικότητα.
Η παρατηρούμενη διαδικασία διείσδυσης email περιλάμβανε διακριτά κριτήρια αναζήτησης για κάθε inbox, υποδεικνύοντας μια στοχευμένη προσέγγιση συλλογής δεδομένων που ταιριάζει με το υποτιθέμενο επιχειρησιακό προφίλ κατασκοπείας.
Το σύμπλεγμα άγνωστης δραστηριότητας έχει αξιοσημείωτες επικαλύψεις με έναν άλλο παράγοντα απειλής που η Μονάδα 42 παρακολουθεί ως “CL-STA-0043”, ο οποίος χαρακτηρίζεται ως παράγοντας απειλής εθνικού κράτους με μεσαίο confi
VIA:
bleepingcomputer.com