Porte dérobée de l'agent Racoon

Des acteurs inconnus ciblent activement des organisations au Moyen-Orient, en Afrique et aux États-Unis, en utilisant une nouvelle porte dérobée appelée Agent Racoon. Ce malware, développé dans le framework .NET, utilise le protocole DNS (Domain Name Service) pour établir un canal caché, permettant diverses fonctionnalités de porte dérobée.

Les victimes de ces attaques proviennent de divers secteurs, notamment l'éducation, l'immobilier, la vente au détail, les organisations à but non lucratif, les télécommunications et les entités gouvernementales. Pour l’instant, l’identité exacte de l’auteur de la menace reste inconnue. La nature des attaques, caractérisée par la sélection des victimes et l’utilisation de techniques sophistiquées de détection et d’évasion de la défense, suggère un alignement potentiel avec un État-nation.

Outils malveillants supplémentaires déployés aux côtés de l'agent Racoon

Les auteurs de la menace ont déployé des outils supplémentaires dans le cadre de leurs opérations, notamment une version personnalisée de Mimikatz nommée Mimilite et un nouvel utilitaire appelé Ntospy. Ntospy utilise un module DLL personnalisé qui implémente un fournisseur de réseau pour voler les informations d'identification d'un serveur distant.

Dans les organisations ciblées, Ntospy est couramment utilisé par les attaquants. Cependant, il convient de noter que l'outil Mimilite et le malware Agent Racoon ont été découverts exclusivement dans des environnements associés à des organisations à but non lucratif et gouvernementales.

Il est important de souligner qu’un groupe d’activités de menace précédemment identifié a également été lié à l’utilisation de Ntospy. Il est intéressant de noter que cet adversaire a ciblé deux organisations qui ont également été soumises à la campagne d'attaque de l'Agent Racoon.

L'agent Racoon est utilisé pendant les premières étapes de la cyberattaque

L'Agent Racoon fonctionne comme une porte dérobée, son objectif principal étant de préparer le système compromis aux infections ultérieures. Le malware établit un canal de communication avec son serveur Command-and-Control (C2, C&C) via le protocole DNS (Domain Name System). L'agent Racoon opère principalement via des tâches planifiées et ne s'appuie pas sur des techniques spécifiques pour assurer la persistance. Cependant, son utilisation des boucles de communication lors de l'interaction avec le serveur C&C peut servir de tactique anti-détection, visant à réduire le risque de brouillage du réseau et de pics d'activité.

Les capacités de l'Agent Racoon incluent l'exécution de commandes et le téléchargement de fichiers. Le premier peut faciliter l’infiltration de contenus dangereux supplémentaires, tandis que le second permet l’exfiltration de données. Ces infections intègrent notamment des mesures anti-détection supplémentaires, telles que l'utilisation de dossiers temporaires et un outil permettant d'effacer les artefacts d'infection après chaque attaque. De plus, certains programmes malveillants sont déguisés en mises à jour Microsoft.

Dans les attaques observées impliquant des logiciels malveillants de collecte d'informations d'identification, les données exfiltrées englobent les profils d'utilisateurs itinérants et les e-mails des clients Microsoft Exchange.

Il est crucial de reconnaître que, étant donné la tendance générale des développeurs de logiciels malveillants à perfectionner leurs logiciels et leurs techniques, il est plausible que les futures itérations de l'Agent Racoon comportent des capacités améliorées et que les infections associées à ce programme pourraient adopter diverses méthodologies.