Agent Racoon Backdoor

Actores de amenazas desconocidos han estado atacando activamente organizaciones en Medio Oriente, África y Estados Unidos, empleando una novedosa puerta trasera llamada Agente Racoon. Este malware, desarrollado dentro del marco .NET, utiliza el protocolo Servicio de nombres de dominio (DNS) para establecer un canal oculto, permitiendo diversas funcionalidades de puerta trasera.

Las víctimas de estos ataques provienen de diversos sectores, incluidos educación, bienes raíces, comercio minorista, organizaciones sin fines de lucro, telecomunicaciones y entidades gubernamentales. Hasta el momento, se desconoce la identidad exacta del autor de la amenaza. La naturaleza de los ataques, caracterizada por la selección de víctimas y la utilización de sofisticadas técnicas de detección y evasión de defensa, sugiere una posible alineación con un Estado-nación.

Herramientas de malware adicionales implementadas junto con Agent Racoon

Los actores de amenazas han implementado herramientas adicionales en su operación, incluida una versión personalizada de Mimikatz llamada Mimilite y una novedosa utilidad llamada Ntospy. Ntospy emplea un módulo DLL personalizado que implementa un proveedor de red para robar credenciales para un servidor remoto.

En todas las organizaciones objetivo, los atacantes suelen utilizar Ntospy. Sin embargo, cabe destacar que la herramienta Mimilite y el malware Agent Racoon se han descubierto exclusivamente en entornos asociados con organizaciones sin fines de lucro y relacionadas con el gobierno.

Es importante resaltar que un grupo de actividades de amenazas previamente identificado también se ha relacionado con el uso de Ntospy. Curiosamente, este adversario ha apuntado a dos organizaciones que también fueron sometidas a la campaña de ataque del Agente Racoon.

El agente Racoon se utiliza durante las etapas iniciales del ciberataque

El Agent Racoon funciona como una puerta trasera, cuyo objetivo principal es preparar el sistema comprometido para infecciones posteriores. El malware establece un canal de comunicación con su servidor de Comando y Control (C2, C&C) a través del protocolo DNS (Domain Name System). Agent Racoon opera principalmente a través de tareas programadas y no depende de técnicas específicas para garantizar la persistencia. Sin embargo, su utilización de bucles de comunicación al interactuar con el servidor C&C puede servir como táctica antidetección, con el objetivo de reducir la probabilidad de interferencias en la red y picos de actividad.

Las capacidades del Agent Racoon incluyen ejecutar comandos y cargar y descargar archivos. El primero puede facilitar la infiltración de contenido adicional inseguro, mientras que el segundo permite la filtración de datos. En particular, estas infecciones incorporan medidas antidetección adicionales, como el uso de carpetas temporales y una herramienta para eliminar los artefactos de infección después de cada ataque. Además, algunos de los programas maliciosos se disfrazan de actualizaciones de Microsoft.

En los ataques observados que involucran malware de recolección de credenciales, los datos filtrados abarcan perfiles de usuarios móviles y correos electrónicos de clientes de Microsoft Exchange.

Es fundamental reconocer que, dada la tendencia común de los desarrolladores de malware a perfeccionar su software y sus técnicas, es posible que futuras iteraciones de Agent Racoon presenten capacidades mejoradas y que las infecciones asociadas con este programa puedan adoptar diversas metodologías.