«Это семейство вредоносных программ написано с использованием платформы .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных возможностей бэкдора», — заявил в пятничном анализе исследователь Palo Alto Networks Unit 42 Чема Гарсия.
Цели атак охватывают различные сферы, такие как образование, недвижимость, розничная торговля, некоммерческие организации, телекоммуникации и правительство. Хотя эта деятельность еще не была приписана известному злоумышленнику, она связана с национальным государственным образованием на основе моделей жертв и используемых методов обнаружения и защиты.
этот доминформационная безопасностьКомпания назвала кластер CL-STA-0002 и отслеживает его. Неясно, как группы были взломаны и когда произошли нападения.
Другие инструменты, используемые злоумышленниками, включают настроенную версию Mimikatz, известную как Mimilite, и новую утилиту Ntospy, которая использует специальный модуль DLL, реализующий сетевой провайдер для кражи учетных данных удаленного сервера.
«Хотя злоумышленники обычно используют Ntospy в пострадавших организациях, инструмент Mimilite и вредоносное ПО Agent Racoon были обнаружены только в контексте некоммерческих и государственных организаций», — пояснил Гарсия.
Стоит отметить, что ранее подтвержденный кластер активности угроз CL-STA-0043 также связан с использованием Ntospy, причем злоумышленники также были нацелены на две организации, подвергшиеся атаке CL-STA-0002.
Агент Racoon запускается с помощью запланированных задач, позволяя выполнять команды, загружать и скачивать файлы, а также маскироваться под двоичные файлы Google Update и Microsoft OneDrive Updater.
Инфраструктура управления и контроля (C2), связанная с имплантатом, возникла как минимум в августе 2020 года. Проверка предоставленных VirusTotal образцов Agent Racoon показала, что самые ранние образцы были загружены в июле 2022 года.
Unit 42 сообщила, что также обнаружила доказательства утечки данных, в результате которой из среды Microsoft Exchange Server были успешно украдены электронные письма, соответствующие различным критериям поиска. Также были замечены злоумышленники, похищающие роуминговые профили жертв.
«Этот набор инструментов не связан с конкретным субъектом угрозы и не ограничивается полностью одним кластером или кампанией», — сказал Гарсия.
Оригинал статьи, автор: Начальник службы безопасности, при перепечатке указать источник: https://cncso.com/ru/agent-racoon-backdoor-targets.html
