由未知威脅發起者部署的 Agent Racoon 後門
身份不明的威脅行為者以中東、非洲和美國的組織為目標,旨在傳播最近發現的名為 Agent Racoon 的後門。 Palo Alto Networks Unit 42 研究員 Chema Garcia 表示,該惡意軟體變種使用 .NET 框架開發,利用網域服務 (DNS) 協定建立隱藏的通訊通道並提供多種後門功能。
Agent Racoon 針對各行業
這些攻擊的受害者來自各個行業,包括教育、房地產、零售、非營利實體、電信和政府機構。儘管負責任的威脅行為者仍未確定,但受害者的性質以及所採用的複雜檢測和防禦規避技術表明其可能與民族國家結盟。
該網路安全公司正在監控這個標識為 CL-STA-0002 的威脅群集。目前,有關入侵方法和攻擊時間表的細節仍不清楚。
攻擊者部署了其他工具,例如名為 Mimilite 的 Mimikatz 定製版本和名為 Ntospy 的新實用程式。 Ntospy 利用實作網路提供者的自訂 DLL 模組來竊取憑證並將其傳輸到遠端伺服器。
Garcia 解釋說,雖然 Ntospy 在受影響的組織中普遍使用,但 Mimilite 工具和 Agent Racoon 惡意軟體特別出現在與非營利組織和政府組織相關的環境中。
Agent Racoon 透過排程任務執行,有助於命令執行、檔案上傳和下載,同時偽裝成 Google Update 和 Microsoft OneDrive Updater 的二進位檔案。
與該植入程式相關的命令與控制 (C2) 基礎設施至少自 2020 年 8 月起就開始運作。對 VirusTotal 提交內容的檢查表明,Agent Racoon 惡意軟體的最早樣本於 2022 年 7 月上傳。