Эксперты Palo Alto Networks предупредили, что организации на Ближнем Востоке, в Африке и США стали объектом атак неизвестной хак-группы, которая распространяет бэкдор Agent Raccoon. Предполагается, что вредонос связан с «правительственными» хакерами, а жертвами его атак стали представители различных секторов, включая правительство, телекоммуникации, образование, недвижимость, розничную торговлю и некоммерческие организации.
Исследователи говорят, что выбор целей, характер используемых инструментов, методы хищения данных и скрытность атака в целом позволяют предположить, что целью злоумышленников, стоящих за Agent Raccoon, является шпионаж.
Agent Raccoon представляет собой написанную на .NET малварь, замаскированную под Google Update или Microsoft OneDrive Updater и использующую протокол DNS для создания скрытого канала связи со своей управляющей инфраструктурой.
Бэкдор использует запросы с кодированными в Punycode поддоменами для уклонения от обнаружения, а также включает случайные параметры, чтобы затруднить отслеживание.
Хотя у самой малвари отсутствует механизм закрепления в системе, по наблюдениям специалистов, вредонос выполняется с помощью запланированных задач.
Agent Raccoon способен удаленно выполнять команды, загружать и выгружать файлы, а также обеспечивать удаленный доступ к зараженной системе.
Также отмечается, что были обнаружены различные образцы Agent Raccoon с небольшими отличиями в коде и оптимизацией настроек, то есть, судя по всему, авторы вредоносного ПО активно разрабатывают и адаптируют его к конкретным задачам.
Помимо Agent Raccoon хакеры использовали в атаках модифицированную версию утилиты Mimikatz под названием Mimilite и DLL-похититель учетных данных, имитирующий модуль Windows Network Provider — Ntospy.
Ntospy регистрируется как законный модуль Network Provider с именем credman, чтобы вмешаться в процесс аутентификации и перехватить учетные данные пользователя. Этот инструмент использует имена файлов, напоминающие файлы Microsoft Update, и сохраняет перехваченные учетные данные локально, в виде простого текста.
Наконец, злоумышленники применяют snap-in’ы PowerShell для хищения электронной почты с серверов Microsoft Exchange и папок Roaming Profile жертвы, сжимая каталог с помощью 7-Zip для повышения эффективности.
При этом во время кражи электронной почты злоумышленники использовали отдельные критерии поиска данных для каждого почтового ящика, то есть атаки были целенаправленными и ориентированными на сбор определенной информации.