Agent Racoon

Agent Racoonはバックドア型マルウェアです。
いくつかの他のマルウェアと組み合わせる形での活動が観測されています。

• Agent Racoon
  .NET Framework を使用して作成された新しいマルウェアです。
  DNSプロトコルを使って秘密チャネルを実現する動きをします。
  使うのはIDN（国際化ドメイン名）の形式で、C2との連携に利用します。
  実装された機能は、コマンドの実行、ファイルのアップロード、ファイルのダウンロードのみです。
  これだけでしかないといえますが、これだけあれば何でもできそうです。
  このツール自身には永続化機能がありませんが、侵害環境のスケジュール機能によって起動されます。
  このマルウェアはDNS通信を行いますが、まとまった通信は行われません。
  ランダムな遅延を挟み込むように実装されていますので、ネットワークのスパイクによる検出を回避し、ネットワークビーコンと解釈されるような検出方式も回避します。

   

• Ntospy
  ユーザーの資格情報を盗む機能を実装されたネットワークプロバイダーDLLの形式の新しいマルウェアです。
  ネットワークプロバイダーDLLは、Windowsオペレーティングシステムが特定のネットワークプロトコルをサポートできるようにする際に使用されるDLLの形式です。
  GitHubで公開されている同様な機能を持つNPPSpyを模倣したものと思われます。
  このマルウェアを使って認証プロセスをハイジャックし、被害者がシステムへの認証を試行するたびにユーザーの資格情報にアクセスします。

   

• Mimilite
  Mimiliteは、Mimikatzのカスタマイズされたバージョンで、内容としては縮小されたものになっています。
  これは資格情報や機密情報の収集に使用されています。
  研究者による解析を回避するため、実行するにはコマンドラインからのパスワード入力が必要となっています。
  入力されたパスワードを復号化キーとして使用し、ペイロードを復元して使用します。
  マルウェアの実行が成功すると資格情報がファイルにダンプされます。

このマルウェアはまだ特定の脅威アクターに関連付けられていません。
しかし、検出の防御機構の複雑さ、現状の被害組織の偏り、使用するツールのカスタマイズの困難さなどの観点から、いずれかの国家関連の脅威アクターが使用しているものである可能性が考えられます。

マルウェアは次々に生み出されていきます。
そしてそのなかでこれまでにはない新たな戦略が実装されていきます。
常に新しい情報を入手し、新しい対策を考えることができる状態を維持する必要があるということに思えます。

参考記事（外部リンク）：New Tool Set Found Used Against Organizations in the Middle
East, Africa and the US
unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa/