Вредоносный бэкдор Agent Racoon атакует организации на Ближнем Востоке, в Африке и других странах.

«Это семейство вредоносных программ написано с использованием платформы .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных возможностей бэкдора», — заявил в пятничном анализе исследователь Palo Alto Networks Unit 42 Чема Гарсия.

Цели атак охватывают различные сферы, такие как образование, недвижимость, розничная торговля, некоммерческие организации, телекоммуникации и правительство. Хотя эта деятельность еще не была приписана известному злоумышленнику, она связана с национальным государственным образованием на основе моделей жертв и используемых методов обнаружения и защиты.

этот доминформационная безопасностьКомпания назвала кластер CL-STA-0002 и отслеживает его. Неясно, как группы были взломаны и когда произошли нападения.

Другие инструменты, используемые злоумышленниками, включают настроенную версию Mimikatz, известную как Mimilite, и новую утилиту Ntospy, которая использует специальный модуль DLL, реализующий сетевой провайдер для кражи учетных данных удаленного сервера.

«Хотя злоумышленники обычно используют Ntospy в пострадавших организациях, инструмент Mimilite и вредоносное ПО Agent Racoon были обнаружены только в контексте некоммерческих и государственных организаций», — пояснил Гарсия.

Вредоносный бэкдор Agent Racoon атакует организации на Ближнем Востоке, в Африке и других странах.
Агент Енот

Стоит отметить, что ранее подтвержденный кластер активности угроз CL-STA-0043 также связан с использованием Ntospy, причем злоумышленники также были нацелены на две организации, подвергшиеся атаке CL-STA-0002.

Агент Racoon запускается с помощью запланированных задач, позволяя выполнять команды, загружать и скачивать файлы, а также маскироваться под двоичные файлы Google Update и Microsoft OneDrive Updater.

Инфраструктура управления и контроля (C2), связанная с имплантатом, возникла как минимум в августе 2020 года. Проверка предоставленных VirusTotal образцов Agent Racoon показала, что самые ранние образцы были загружены в июле 2022 года.

Unit 42 сообщила, что также обнаружила доказательства утечки данных, в результате которой из среды Microsoft Exchange Server были успешно украдены электронные письма, соответствующие различным критериям поиска. Также были замечены злоумышленники, похищающие роуминговые профили жертв.

«Этот набор инструментов не связан с конкретным субъектом угрозы и не ограничивается полностью одним кластером или кампанией», — сказал Гарсия.

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/agent-racoon-backdoor-targets-html.

Нравиться (1)
Предыдущий 1 декабря 2023 г. пп10:01
Следующий 4 декабря 2023 пп 8:55

связанное предложение