Новости Agent Racoon: скрытый охотник на правительства и некоммерческие организации

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Неизвестная группировка атакует ключевые сектора и тщательно подбирает инструменты.


snb88aib4v0fi3qhpjsb2mw16u0bbiks.jpg


Согласно Для просмотра ссылки Войди или Зарегистрируйся Palo Alto Networks Unit 42 , неопознанные хакеры атаковали организации в США, на Ближнем Востоке и в Африке, используя новый тип вредоносного ПО под названием Agent Racoon.

По данным Unit 42, семейство вредоносных программ Agent Racoon написано с использованием платформы .NET и использует протокол DNS для создания скрытого канала и обеспечения различных функций бэкдора.

Волна кибератак затронула разнообразные сектора, включая образовательные учреждения, недвижимость, розничную торговлю, некоммерческие организации, сферу телекоммуникаций и правительственные учреждения. Хотя конкретный источник атак пока не установлен, существует предположение, что за ними стоит государственная структура, исходя из выбора целей и применяемых техник уклонения от обнаружения.

Фирма Palo Alto Networks ведет мониторинг кампании, обозначив её как кластер CL-STA-0002. Однако до сих пор остается неясным, как именно злоумышленники проникали в организации и когда точно произошли атаки.

Кроме того, киберпреступники использовали дополнительные инструменты – настроенная версия Mimikatz под названием Mimilite и новая утилита Ntospy, которая использует специальный модуль DLL, реализующий Для просмотра ссылки Войди или Зарегистрируйся для кражи учетных данных и их передачи на удаленный сервер. Хотя Ntospy использовался во многих атаках, Mimilite и Agent Racoon обнаружены только в среде некоммерческих и правительственных организаций.

Agent Racoon, активируемый через запланированные задачи, позволяет выполнять команды, загружать и скачивать файлы, при этом маскируясь под обновления Google и Microsoft OneDrive. Инфраструктура управления и контроля (Command and Control, C2 ), связанная с Agent Racoon, существует как минимум с августа 2020 года. Анализ поданных в VirusTotal образцов Agent Racoon показывает, что первые образцы были загружены в июле 2022 года.

Кроме того, Unit 42 обнаружила успешное извлечение данных из среды Microsoft Exchange Server, что привело к краже электронной почты. При этом взломщики также собирали данные Для просмотра ссылки Войди или Зарегистрируйся пользователей. Исследователи заключили, что комплекс инструментов пока не ассоциируется с конкретным хакером или группой, и его применение не ограничивается одной кампанией или кластером.
 
Источник новости
www.securitylab.ru

Похожие темы