Бэкдор Agent Racoon развернут неизвестным злоумышленником
Неизвестные злоумышленники атаковали организации на Ближнем Востоке, в Африке и США, стремясь распространить недавно обнаруженный бэкдор, известный как Agent Racoon. По словам Чемы Гарсиа, исследователя Palo Alto Networks Unit 42, этот вариант вредоносного ПО разработан с использованием платформы .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала связи и предоставления разнообразных бэкдорных функций.
Agent Racoon нацелен на различные отрасли
Жертвы этих атак принадлежат к различным секторам, включая образование, недвижимость, розничную торговлю, некоммерческие организации, телекоммуникации и государственные органы. Хотя ответственный за угрозу остается неизвестным, характер жертв и используемые сложные методы обнаружения и уклонения от защиты предполагают потенциальную связь с национальным государством.
Фирма по кибербезопасности отслеживает этот кластер угроз, обозначенный как CL-STA-0002. Детали метода компрометации и сроки проведения атак в настоящее время остаются неясными.
Злоумышленник развернул дополнительные инструменты, такие как модифицированная версия Mimikatz под названием Mimilite и новая утилита под названием Ntospy. Ntospy использует специальный модуль DLL, реализующий сетевой провайдер, для кражи учетных данных и передачи их на удаленный сервер.
Хотя Ntospy обычно используется во всех пострадавших организациях, инструмент Mimilite и вредоносное ПО Agent Racoon особенно появились в средах, связанных с некоммерческими и правительственными организациями, как объяснил Гарсия.
Агент Racoon, выполняемый посредством запланированных задач, облегчает выполнение команд, загрузку и загрузку файлов, маскируясь под двоичные файлы для Google Update и Microsoft OneDrive Updater.
Инфраструктура управления и контроля (C2), связанная с этим имплантатом, работает как минимум с августа 2020 года. Анализ материалов, предоставленных VirusTotal, показывает, что самый ранний образец вредоносного ПО Agent Racoon был загружен в июле 2022 года.