Agent Racoon

ほぼこもセキュリティニュース By Terilogy Worx

Agent Racoonはバックドア型マルウェアです。
いくつかの他のマルウェアと組み合わせる形での活動が観測されています。

  • Agent Racoon
    .NET Framework を使用して作成された新しいマルウェアです。
    DNSプロトコルを使って秘密チャネルを実現する動きをします。
    使うのはIDN(国際化ドメイン名)の形式で、C2との連携に利用します。
    実装された機能は、コマンドの実行、ファイルのアップロード、ファイルのダウンロードのみです。
    これだけでしかないといえますが、これだけあれば何でもできそうです。
    このツール自身には永続化機能がありませんが、侵害環境のスケジュール機能によって起動されます。
    このマルウェアはDNS通信を行いますが、まとまった通信は行われません。
    ランダムな遅延を挟み込むように実装されていますので、ネットワークのスパイクによる検出を回避し、ネットワークビーコンと解釈されるような検出方式も回避します。

     

  • Ntospy
    ユーザーの資格情報を盗む機能を実装されたネットワークプロバイダーDLLの形式の新しいマルウェアです。
    ネットワークプロバイダーDLLは、Windowsオペレーティングシステムが特定のネットワークプロトコルをサポートできるようにする際に使用されるDLLの形式です。
    GitHubで公開されている同様な機能を持つNPPSpyを模倣したものと思われます。
    このマルウェアを使って認証プロセスをハイジャックし、被害者がシステムへの認証を試行するたびにユーザーの資格情報にアクセスします。

     

  • Mimilite
    Mimiliteは、Mimikatzのカスタマイズされたバージョンで、内容としては縮小されたものになっています。
    これは資格情報や機密情報の収集に使用されています。
    研究者による解析を回避するため、実行するにはコマンドラインからのパスワード入力が必要となっています。
    入力されたパスワードを復号化キーとして使用し、ペイロードを復元して使用します。
    マルウェアの実行が成功すると資格情報がファイルにダンプされます。

このマルウェアはまだ特定の脅威アクターに関連付けられていません。
しかし、検出の防御機構の複雑さ、現状の被害組織の偏り、使用するツールのカスタマイズの困難さなどの観点から、いずれかの国家関連の脅威アクターが使用しているものである可能性が考えられます。

マルウェアは次々に生み出されていきます。
そしてそのなかでこれまでにはない新たな戦略が実装されていきます。
常に新しい情報を入手し、新しい対策を考えることができる状態を維持する必要があるということに思えます。

参考記事(外部リンク):New Tool Set Found Used Against Organizations in the Middle
East, Africa and the US

unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。