Porte dérobée Agent Racoon : une cyberattaque cible des organisations en Moyen-Orient, Afrique et États-Unis

« Cette famille de logiciels malveillants est écrite à l’aide du cadre .NET et exploite le protocole DNS (Domain Name Service) pour créer un canal secret et fournir différentes fonctionnalités de porte dérobée », a déclaré Chema Garcia, chercheur de l’unité 42 de Palo Alto Networks, dans une analyse publiée vendredi.

Les cibles des attaques couvrent divers secteurs tels que l’éducation, l’immobilier, la vente au détail, les organisations à but non lucratif, les télécommunications et les gouvernements. L’activité n’a pas été attribuée à un acteur connu de la menace, bien que l’on estime qu’il s’agit d’un État-nation en raison du modèle de victimologie et des techniques de détection et d’évasion de la défense utilisées.

La société de cybersécurité suit le groupe sous le nom de CL-STA-0002. On ne sait pas encore comment ces organisations ont été violées, ni quand les attaques ont eu lieu.

Parmi les autres outils déployés par l’adversaire figurent une version personnalisée de Mimikatz appelée Mimilite ainsi qu’un nouvel utilitaire appelé Ntospy, qui utilise un module DLL personnalisé mettant en œuvre un fournisseur de réseau pour voler les informations d’identification d’un serveur distant.

« Alors que les attaquants utilisaient couramment Ntospy dans les organisations touchées, l’outil Mimilite et le logiciel malveillant Agent Racoon n’ont été trouvés que dans des environnements d’organisations à but non lucratif et liées au gouvernement », a expliqué M. Garcia.
Il convient de souligner qu’un groupe de menaces précédemment identifié, connu sous le nom de CL-STA-0043, a également été lié à l’utilisation de Ntospy, l’adversaire ciblant également deux organisations qui ont été ciblées par CL-STA-0002.

L’agent Raccoon, exécuté au moyen de tâches planifiées, permet l’exécution de commandes, le téléchargement de fichiers, tout en se déguisant en binaires Google Update et Microsoft OneDrive Updater.
L’infrastructure de commande et de contrôle (C2) utilisée dans le cadre de l’implantation remonte au moins à août 2020. Un examen des soumissions d’artefacts Agent Racoon sur VirusTotal montre que l’échantillon le plus ancien a été téléchargé en juillet 2022.

L’unité 42 a également découvert des preuves d’exfiltration réussie de données à partir d’environnements Microsoft Exchange Server, ce qui a permis de voler des courriels correspondant à différents critères de recherche. Cet ensemble d’outils n’est pas encore associé à un acteur spécifique de la menace et n’est pas entièrement limité à un seul groupe ou à une seule campagne », a déclaré M. Garcia.