Agent Racoon惡意後門攻擊中東、非洲等國組織

Palo Alto Networks Unit 42研究員Chema Garcia在一份週五的分析中表示:「這個惡意軟體系列是使用.NET框架編寫的,利用網域服務(DNS)協定創建一個隱密通道,並提供不同的後門功能。 」

攻擊的目標涵蓋了教育、房地產、零售、非營利組織、電信和政府等各個領域。儘管尚未將這項活動歸咎於已知的威脅行為者,但根據受害者模式以及使用的偵測和防禦逃避技術,可以判斷其與一個國家實體相關。

這家網路安全該公司將該集群命名為CL-STA-0002,並對其進行追蹤。目前尚不清楚這些組織是如何被攻破的,以及攻擊發生的時間。

攻擊者使用的其他工具包括定製版本的Mimikatz,稱為Mimilite,以及一種名為Ntospy的新實用程序,該實用程式利用實施了網路提供者的自訂DLL模組來竊取遠端伺服器的憑證。

Garcia解釋道:“雖然攻擊者通常在受影響的組織中使用Ntospy,但Mimilite工具和Agent Racoon惡意軟體僅在非營利組織和政府相關組織的環境中發現。”

Agent Racoon惡意後門攻擊中東、非洲等國組織
Agent Racoon

值得注意的是,先前已確認的威脅活動群集CL-STA-0043也與Ntospy的使用有關,攻擊者也針對兩個被CL-STA-0002攻擊過的組織進行了攻擊。

Agent Racoon透過排程任務執行,允許執行命令、上傳和下載文件,並偽裝成Google Update和Microsoft OneDrive Updater二進位檔案。

與植入物相關的命令和控制(C2)基礎設施至少可以追溯到2020年8月。對Agent Racoon樣本的VirusTotal提交進行的檢查顯示,最早的樣本是在2022年7月上傳的。

Unit 42表示,他們也發現了從Microsoft Exchange Server環境成功竊取符合不同搜尋條件的電子郵件的資料外洩的證據。也發現威脅行為者竊取受害者的漫遊設定檔。

Garcia表示:“這個工具集尚未與特定的威脅行為者關聯,並且不完全限於一個單獨的集群或攻擊活動。”

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/agent-racoon-backdoor-targets-html

讚! (1)
以前的 2023年12月1日下午10:01
下一個 2023年12月4日下午8:55

相關推薦