Palo Alto Networks Unit 42研究員Chema Garcia在一份週五的分析中表示:「這個惡意軟體系列是使用.NET框架編寫的,利用網域服務(DNS)協定創建一個隱密通道,並提供不同的後門功能。 」
攻擊的目標涵蓋了教育、房地產、零售、非營利組織、電信和政府等各個領域。儘管尚未將這項活動歸咎於已知的威脅行為者,但根據受害者模式以及使用的偵測和防禦逃避技術,可以判斷其與一個國家實體相關。
這家網路安全該公司將該集群命名為CL-STA-0002,並對其進行追蹤。目前尚不清楚這些組織是如何被攻破的,以及攻擊發生的時間。
攻擊者使用的其他工具包括定製版本的Mimikatz,稱為Mimilite,以及一種名為Ntospy的新實用程序,該實用程式利用實施了網路提供者的自訂DLL模組來竊取遠端伺服器的憑證。
Garcia解釋道:“雖然攻擊者通常在受影響的組織中使用Ntospy,但Mimilite工具和Agent Racoon惡意軟體僅在非營利組織和政府相關組織的環境中發現。”
值得注意的是,先前已確認的威脅活動群集CL-STA-0043也與Ntospy的使用有關,攻擊者也針對兩個被CL-STA-0002攻擊過的組織進行了攻擊。
Agent Racoon透過排程任務執行,允許執行命令、上傳和下載文件,並偽裝成Google Update和Microsoft OneDrive Updater二進位檔案。
與植入物相關的命令和控制(C2)基礎設施至少可以追溯到2020年8月。對Agent Racoon樣本的VirusTotal提交進行的檢查顯示,最早的樣本是在2022年7月上傳的。
Unit 42表示,他們也發現了從Microsoft Exchange Server環境成功竊取符合不同搜尋條件的電子郵件的資料外洩的證據。也發現威脅行為者竊取受害者的漫遊設定檔。
Garcia表示:“這個工具集尚未與特定的威脅行為者關聯,並且不完全限於一個單獨的集群或攻擊活動。”
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/agent-racoon-backdoor-targets.html
