Бэкдор Agent Racoon нацелен на организации на Ближнем Востоке, в Африке и США

02 декабря 2023 г.Отдел новостей

Организации на Ближнем Востоке, в Африке и США стали объектом нападения неизвестного злоумышленника с целью распространения нового бэкдора под названием Офицер Енот.

«Это семейство вредоносных программ написано с использованием платформы .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и обеспечения различных функций бэкдора», — исследователь подразделения 42 Palo Alto Networks Чема Гарсия. сказал в пятничном анализе.

Цели атак охватывают различные сектора, такие как образование, недвижимость, розничная торговля, некоммерческие организации, телекоммуникации и правительства. Эта деятельность не была приписана известному злоумышленнику, хотя она оценивается как связанная с национальным государством из-за модели виктимологии и используемых методов обнаружения и защиты.

Фирма по кибербезопасности отслеживает кластер под названием CL-STA-0002. В настоящее время неясно, как были взломаны эти организации и когда произошли атаки.

Некоторые из других инструментов, развернутых злоумышленником, включают настроенную версию Mimikatz под названием Mimilite, а также новую утилиту под названием Ntospy, которая использует специальный модуль DLL, реализующий сетевой провайдер для кражи учетных данных на удаленном сервере.

«Хотя злоумышленники обычно использовали Ntospy во всех пострадавших организациях, инструмент Mimilite и вредоносное ПО Agent Racoon были обнаружены только в средах некоммерческих и государственных организаций», — пояснил Гарсия.

Стоит отметить ранее выявленный кластер активности угроз, известный как CL-STA-0043 также был связан с использованием Ntospy, причем злоумышленник также нацелился на две организации, подвергшиеся атаке CL-STA-0002.

Агент Raccoon, выполняемый посредством запланированных задач, позволяет выполнять команды, загружать и скачивать файлы, маскируясь под двоичные файлы Google Update и Microsoft OneDrive Updater.

Инфраструктура управления и контроля (C2), используемая в связи с имплантатом, возникла как минимум в августе 2020 года. Проверка предоставленных VirusTotal артефактов Agent Racoon показывает, что самый ранний образец был загружен в июле 2022 года.

Unit 42 заявила, что также обнаружила доказательства успешной кражи данных из среды Microsoft Exchange Server, что привело к краже электронных писем, соответствующих различным критериям поиска. Также было обнаружено, что злоумышленник собирал жертвы Роуминг профиля.

«Этот набор инструментов еще не связан с конкретным субъектом угрозы и не ограничивается полностью одним кластером или кампанией», — сказал Гарсия.