Palo Alto Networks Unit 42研究员Chema Garcia在一份周五的分析中表示:“这个恶意软件系列是使用.NET框架编写的,利用域名服务(DNS)协议创建一个隐秘通道,并提供不同的后门功能。”
袭击的目标涵盖了教育、房地产、零售、非营利组织、电信和政府等各个领域。尽管尚未将这一活动归咎于已知的威胁行为者,但根据受害者模式以及使用的检测和防御逃避技术,可以判断其与一个国家实体相关。
这家网络安全公司将该集群命名为CL-STA-0002,并对其进行跟踪。目前尚不清楚这些组织是如何被攻破的,以及攻击发生的时间。
攻击者使用的其他工具包括定制版本的Mimikatz,称为Mimilite,以及一种名为Ntospy的新实用程序,该实用程序利用实施了网络提供者的自定义DLL模块来窃取远程服务器的凭据。
Garcia解释道:“虽然攻击者通常在受影响的组织中使用Ntospy,但Mimilite工具和Agent Racoon恶意软件仅在非营利组织和政府相关组织的环境中发现。”
值得注意的是,之前已经确认的威胁活动集群CL-STA-0043也与Ntospy的使用有关,攻击者还针对两个被CL-STA-0002攻击过的组织进行了攻击。
Agent Racoon通过计划任务执行,允许执行命令、上传和下载文件,并伪装成Google Update和Microsoft OneDrive Updater二进制文件。
与植入物相关的命令和控制(C2)基础设施至少可以追溯到2020年8月。对Agent Racoon样本的VirusTotal提交进行的检查显示,最早的样本是在2022年7月上传的。
Unit 42表示,他们还发现了从Microsoft Exchange Server环境成功盗取符合不同搜索条件的电子邮件的数据外泄的证据。还发现威胁行为者窃取受害者的漫游配置文件。
Garcia表示:“这个工具集尚未与特定的威胁行为者关联,并且不完全限于一个单独的集群或者攻击活动。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/agent-racoon-backdoor-targets.html