Palo Alto Networks Unit 42 연구원인 Chema Garcia는 금요일 분석에서 "이 악성코드 계열은 .NET 프레임워크를 사용하여 작성되었으며 DNS(도메인 이름 서비스) 프로토콜을 활용하여 은밀한 채널을 생성하고 다양한 백도어 기능을 제공합니다"라고 말했습니다.
공격 대상은 교육, 부동산, 소매, 비영리단체, 통신, 정부 등 다양한 분야를 포괄한다. 이 활동은 아직 알려진 위협 행위자의 소행으로 밝혀지지 않았지만 피해자 패턴과 사용된 탐지 및 방어 회피 기술을 기반으로 국가 기관과 연결되어 있습니다.
이 집사이버 보안회사는 클러스터 이름을 CL-STA-0002로 지정하고 이를 추적하고 있습니다. 해당 그룹이 어떻게 침해를 받았는지, 공격이 언제 발생했는지는 불분명합니다.
공격자가 사용하는 다른 도구로는 Mimilite로 알려진 Mimikatz의 사용자 정의 버전과 원격 서버의 자격 증명을 훔치기 위해 네트워크 공급자를 구현하는 사용자 정의 DLL 모듈을 활용하는 Ntospy라는 새로운 유틸리티가 있습니다.
Garcia는 “공격자들은 영향을 받는 조직 내에서 일반적으로 Ntospy를 사용하지만 Mimilite 도구와 Agent Racoon 악성 코드는 비영리 조직과 정부 관련 조직에서만 발견되었습니다.”라고 설명했습니다.
앞서 확인된 위협활동 클러스터 CL-STA-0043도 Ntospy 사용과 관련이 있으며, 공격자는 CL-STA-0002의 공격을 받은 2개 조직도 표적으로 삼았다는 점에 주목할 필요가 있다.
Racoon 에이전트는 예약된 작업을 통해 실행되어 명령 실행, 파일 업로드 및 다운로드, Google 업데이트 및 Microsoft OneDrive 업데이터 바이너리로 위장합니다.
임플란트와 관련된 명령 및 제어(C2) 인프라는 적어도 2020년 8월로 거슬러 올라갑니다. Racoon 요원 샘플의 VirusTotal 제출을 조사한 결과 가장 초기 샘플이 2022년 7월에 업로드된 것으로 나타났습니다.
Unit 42는 또한 Microsoft Exchange Server 환경에서 다양한 검색 기준과 일치하는 이메일을 성공적으로 훔친 데이터 침해 증거도 발견했다고 밝혔습니다. 위협 행위자들이 피해자의 로밍 프로필을 훔치는 것도 발견되었습니다.
Garcia는 "이 도구 세트는 특정 위협 행위자와 연관되지 않았으며 단일 클러스터나 캠페인에만 전적으로 국한되지 않습니다."라고 말했습니다.
원문, 저자: 최고보안책임자, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/agent-racoon-backdoor-targets.html
