Az “Agent Raccoon” (vagy Agent Racoon) nevű kártevőt az Egyesült Államokban, a Közel-Keleten és Afrikában működő szervezetek elleni kibertámadásokban használják.
A támadók feltehetően nemzetállami szereplők, akik különböző szektorokat támadnak, többek között kormányzati, távközlési, oktatási, ingatlanügyi, kiskereskedelmi és non-profit szervezeteket. A célpontok kiválasztása, a bevetett eszközök jellege, az adatok kiszivárogtatásának módszerei és a támadások titkos jellege arra utal, hogy céljuk a kémkedés és a célzott hírszerzés.
Az Agent Raccoon egy Google Update vagy Microsoft OneDrive frissítésnek álcázott .NET malware, amely a DNS (Domain Name Service) protokollt kihasználva titkos kommunikációs csatornát hoz létre a támadók C2 (command and control) infrastruktúrájával.
A backdoor Punycode kódolású aldomaineket tartalmazó lekérdezéseket állít elő az elkerülés érdekében, miközben véletlenszerű értékeket is tartalmaz, hogy megnehezítse a kommunikáció nyomon követését.
Bár maga a kártevő nem rendelkezik perzisztencia mechanizmussal, a megfigyelések arra utalnak, hogy ütemezett feladatokkal hajtják végre.
A kártevő képes távoli parancsok végrehajtására, fájlok feltöltésére és letöltésére, valamint távoli hozzáférést biztosít a fertőzött rendszerhez.
Az elemzők azt is megjegyzik, hogy az Agent Raccoon különböző mintáit kapták el, amelyekben a beállítások kódjának enyhe eltérései és optimalizálásai voltak, ami arra utal, hogy a szoftver szerzői az egyedi működési követelményekhez fejlesztik és adaptálják azt.
Az Agent Raccoon mellett a támadók a Mimikatz egy testreszabott változatát, a “Mimilite” nevű programot, valamint a Windows Network Provider modult utánzó DLL-t, az “Ntospy” nevű programot használták.
Az Ntospy “credman” nevű, legitim Network Provider modulként regisztrál, hogy eltérítse a hitelesítési folyamatot, és megszerezze a felhasználói hitelesítő adatokat. Ez az eszköz is Microsoft Update fájlokra hasonlító fájlneveket használ, és a lehallgatott hitelesítő adatokat egyszerű szöveges formában helyileg tárolja a feltört eszközön.
Végül a támadók PowerShell beépülő modulokat használnak a Microsoft Exchange szerverekről érkező e-mailek, vagy az áldozatok Roaming Profile mappáinak ellopására, a hatékonyság és a lopakodás érdekében 7-Zip segítségével tömörítve a könyvtárat.
A megfigyelt e-mail kiszivárogtatási folyamat minden egyes postafiók esetében külön keresési kritériumokat tartalmazott, ami a feltételezett kémkedési működésnek megfelelő célzott adatgyűjtésre utal.
