Un nuovo malware chiamato ‘Agent Raccoon’ (o Agent Racoon) è stato identificato come strumento utilizzato in attacchi cyber contro organizzazioni negli Stati Uniti, Medio Oriente e Africa. Gli attacchi, ritenuti opera di attori statali, sono stati scoperti da Unit 42 di Palo Alto Networks, che ha rilevato vittime in vari settori, tra cui governo, telecomunicazioni, educazione, immobiliare, vendita al dettaglio e organizzazioni non profit.
Caratteristiche di Agent Raccoon
Agent Raccoon è un malware .NET mascherato da aggiornamento di Google o Microsoft OneDrive Updater, che sfrutta il protocollo DNS (Domain Name Service) per stabilire un canale di comunicazione segreto con l’infrastruttura C2 (command and control) degli attaccanti. Il backdoor costruisce query con sottodomini codificati in Punycode per l’evasione, includendo anche valori casuali per rendere le comunicazioni più difficili da tracciare. Sebbene il malware stesso manchi di un meccanismo di persistenza, le osservazioni suggeriscono che viene eseguito tramite task pianificati. Agent Raccoon è in grado di eseguire comandi a distanza, caricare e scaricare file e fornire accesso remoto al sistema infetto.
Sviluppo e adattamento continuo
Unit 42 ha notato che sono state catturate diverse campioni di Agent Raccoon con lievi variazioni di codice e ottimizzazioni nelle impostazioni, indicando che gli autori del malware lo stanno sviluppando e adattando attivamente a specifiche esigenze operative.
Altri strumenti unici utilizzati
Oltre ad Agent Raccoon, gli attaccanti hanno utilizzato una versione personalizzata dell’utilità di dumping delle credenziali Mimikatz, chiamata ‘Mimilite’, e un rubacredenziali DLL che imita il modulo Windows Network Provider, chiamato ‘Ntospy’. Ntospy si registra come un legittimo modulo Network Provider chiamato “credman” per intercettare il processo di autenticazione e catturare le credenziali degli utenti. Questo strumento utilizza nomi di file che assomigliano a file di aggiornamento Microsoft e memorizza le credenziali intercettate in forma di testo semplice localmente sul dispositivo violato. Infine, gli attaccanti utilizzano snap-in PowerShell per rubare email dai server Microsoft Exchange o per rubare le cartelle del Profilo Itinerante delle vittime, comprimendo la directory con 7-Zip per efficienza e discrezione.