In einer Analyse vom Freitag erklärte der Forscher Chema Garcia von Palo Alto Networks Unit 42: "Diese Malware-Familie ist mit dem .NET-Framework geschrieben und nutzt das DNS-Protokoll (Domain Name Service), um einen getarnten Kanal mit verschiedenen Backdoor-Funktionen zu erstellen."
Die Angriffe richteten sich gegen eine Vielzahl von Branchen, darunter Bildung, Immobilien, Einzelhandel, gemeinnützige Organisationen, Telekommunikation und Behörden. Obwohl diese Aktivitäten noch keinem bekannten Bedrohungsakteur zugeordnet werden konnten, kann aufgrund des Musters der Opfer und der verwendeten Techniken zur Umgehung der Erkennung und Verteidigung davon ausgegangen werden, dass sie mit einer staatlichen Einrichtung in Verbindung stehen.
dieses HausNetzwerksicherheitDas Unternehmen nannte den Cluster CL-STA-0002 und verfolgte ihn. Es ist unklar, wie die Organisationen angegriffen wurden und wann die Angriffe stattfanden.
Zu den weiteren von den Angreifern verwendeten Tools gehören eine angepasste Version von Mimikatz, genannt Mimilite, und ein neues Dienstprogramm namens Ntospy, das ein benutzerdefiniertes DLL-Modul verwendet, das einen Netzwerkanbieter implementiert, um Anmeldedaten von entfernten Servern zu stehlen.
Garcia erklärt: "Während Angreifer in der Regel Ntospy in den betroffenen Organisationen einsetzen, wurden das Tool Mimilite und die Malware Agent Racoon nur in den Umgebungen von gemeinnützigen und regierungsnahen Organisationen gefunden."
Der zuvor identifizierte Bedrohungscluster CL-STA-0043 wurde ebenfalls mit der Verwendung von Ntospy in Verbindung gebracht, und die Angreifer hatten auch zwei Organisationen im Visier, die von CL-STA-0002 angegriffen worden waren.
Agent Racoon wird über geplante Aufgaben ausgeführt, die das Ausführen von Befehlen, das Hoch- und Herunterladen von Dateien und die Tarnung als Google Update- und Microsoft OneDrive Updater-Binärdateien ermöglichen.
Die mit dem Implantat verbundene Befehls- und Kontrollinfrastruktur (C2) reicht mindestens bis August 2020 zurück. Eine Untersuchung der bei VirusTotal eingereichten Agent-Racoon-Proben zeigt, dass die frühesten Proben im Juli 2022 hochgeladen wurden.
Laut Unit 42 wurden auch Beweise für eine Datenexfiltration aus Microsoft Exchange Server-Umgebungen gefunden, bei der erfolgreich E-Mails gestohlen wurden, die verschiedenen Suchkriterien entsprachen. Es wurde auch festgestellt, dass die Bedrohungsakteure die Roaming-Profile der Opfer gestohlen haben.
Garcia sagte: "Dieses Toolset ist noch nicht mit einem bestimmten Bedrohungsakteur verbunden und ist nicht vollständig auf einen einzelnen Cluster oder eine Angriffskampagne beschränkt."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/agent-racoon-backdoor-targets-html
