Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Организации на Ближнем Востоке, в Африке и в США подверглись атаке неизвестного злоумышленника с целью распространения нового бэкдора под названием Agent Racoon.
"Это семейство вредоносных программ написано с использованием .NET framework использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных функций бэкдора", - сказал исследователь подразделения Palo Alto Networks 42 Чема Гарсия в пятничном анализе.
Цели атак охватывают различные секторы, такие как образование, недвижимость, розничная торговля, некоммерческие организации, телекоммуникации и правительства. Деятельность не была приписана известному субъекту угрозы, хотя оценивается как связанная с национальным государством из-за виктимологической модели и используемых методов обнаружения и уклонения от защиты.
Фирма по кибербезопасности отслеживает кластер под псевдонимом CL-STA-0002. В настоящее время неясно, как были взломаны эти организации и когда произошли атаки.
Некоторые из других инструментов, развернутых противником включают в себя адаптированную версию Mimikatz звонил Mimilite а также новая утилита под названием Ntospy, который использует пользовательский модуль DLL осуществляет сети провайдера, чтобы украсть учетные данные к удаленному серверу.
"В то время как злоумышленники обычно использовали Ntospy во всех затронутых организациях, инструмент Mimilite и вредоносная программа Agent Racoon были обнаружены только в среде некоммерческих и связанных с правительством организаций", - объяснил Гарсия.
Стоит отметить, что ранее выявленный кластер угроз, известный как CL-STA-0043, также был связан с использованием Ntospy, причем злоумышленник также нацелился на две организации, на которые был нацелен CL-STA-0002.
Агент Raccoon, выполняемый с помощью запланированных задач, позволяет выполнять команды, загружать файлы и скачивать файлы, маскируясь под двоичные файлы Google Update и Microsoft OneDrive Updater.
Инфраструктура командования и контроля (C2), используемая в связи с имплантатом, датируется как минимум августом 2020 года. Изучение отправленных вирусотами артефактов Agent Racoon показывает, что самый ранний образец был загружен в июле 2022 года.
Подразделение 42 заявило, что оно также обнаружило доказательства успешной утечки данных из серверных сред Microsoft Exchange, что привело к краже электронных писем, соответствующих различным критериям поиска. Также было обнаружено, что злоумышленник собирает данные о перемещаемом профиле жертв.
"Этот набор инструментов пока не связан с конкретным субъектом угрозы и не ограничен полностью одним кластером или кампанией", - сказал Гарсия.
"Это семейство вредоносных программ написано с использованием .NET framework использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных функций бэкдора", - сказал исследователь подразделения Palo Alto Networks 42 Чема Гарсия в пятничном анализе.
Цели атак охватывают различные секторы, такие как образование, недвижимость, розничная торговля, некоммерческие организации, телекоммуникации и правительства. Деятельность не была приписана известному субъекту угрозы, хотя оценивается как связанная с национальным государством из-за виктимологической модели и используемых методов обнаружения и уклонения от защиты.
Фирма по кибербезопасности отслеживает кластер под псевдонимом CL-STA-0002. В настоящее время неясно, как были взломаны эти организации и когда произошли атаки.
Некоторые из других инструментов, развернутых противником включают в себя адаптированную версию Mimikatz звонил Mimilite а также новая утилита под названием Ntospy, который использует пользовательский модуль DLL осуществляет сети провайдера, чтобы украсть учетные данные к удаленному серверу.
"В то время как злоумышленники обычно использовали Ntospy во всех затронутых организациях, инструмент Mimilite и вредоносная программа Agent Racoon были обнаружены только в среде некоммерческих и связанных с правительством организаций", - объяснил Гарсия.
Стоит отметить, что ранее выявленный кластер угроз, известный как CL-STA-0043, также был связан с использованием Ntospy, причем злоумышленник также нацелился на две организации, на которые был нацелен CL-STA-0002.
Агент Raccoon, выполняемый с помощью запланированных задач, позволяет выполнять команды, загружать файлы и скачивать файлы, маскируясь под двоичные файлы Google Update и Microsoft OneDrive Updater.
Инфраструктура командования и контроля (C2), используемая в связи с имплантатом, датируется как минимум августом 2020 года. Изучение отправленных вирусотами артефактов Agent Racoon показывает, что самый ранний образец был загружен в июле 2022 года.
Подразделение 42 заявило, что оно также обнаружило доказательства успешной утечки данных из серверных сред Microsoft Exchange, что привело к краже электронных писем, соответствующих различным критериям поиска. Также было обнаружено, что злоумышленник собирает данные о перемещаемом профиле жертв.
"Этот набор инструментов пока не связан с конкретным субъектом угрозы и не ограничен полностью одним кластером или кампанией", - сказал Гарсия.
