04/12/23
.jpg?width=275&height=183&name=images%20(25).jpg)
Согласно новому отчёту Palo Alto Networks Unit 42, неопознанные хакеры атаковали организации в США, на Ближнем Востоке и в Африке, используя новый тип вредоносного ПО под названием Agent Racoon.
По данным Unit 42, семейство вредоносных программ Agent Racoon написано с использованием платформы .NET и использует протокол DNS для создания скрытого канала и обеспечения различных функций бэкдора, пишет Securitylab.
Волна кибератак затронула разнообразные сектора, включая образовательные учреждения, недвижимость, розничную торговлю, некоммерческие организации, сферу телекоммуникаций и правительственные учреждения. Хотя конкретный источник атак пока не установлен, существует предположение, что за ними стоит государственная структура, исходя из выбора целей и применяемых техник уклонения от обнаружения.
Фирма Palo Alto Networks ведет мониторинг кампании, обозначив её как кластер CL-STA-0002. Однако до сих пор остается неясным, как именно злоумышленники проникали в организации и когда точно произошли атаки.
Кроме того, киберпреступники использовали дополнительные инструменты – настроенная версия Mimikatz под названием Mimilite и новая утилита Ntospy, которая использует специальный модуль DLL, реализующий сетевой провайдер для кражи учетных данных и их передачи на удаленный сервер. Хотя Ntospy использовался во многих атаках, Mimilite и Agent Racoon обнаружены только в среде некоммерческих и правительственных организаций.
Agent Racoon, активируемый через запланированные задачи, позволяет выполнять команды, загружать и скачивать файлы, при этом маскируясь под обновления Google и Microsoft OneDrive. Инфраструктура управления и контроля (Command and Control, C2), связанная с Agent Racoon, существует как минимум с августа 2020 года. Анализ поданных в VirusTotal образцов Agent Racoon показывает, что первые образцы были загружены в июле 2022 года.
Кроме того, Unit 42 обнаружила успешное извлечение данных из среды Microsoft Exchange Server, что привело к краже электронной почты. При этом взломщики также собирали данные перемещаемых профилей пользователей. Исследователи заключили, что комплекс инструментов пока не ассоциируется с конкретным хакером или группой, и его применение не ограничивается одной кампанией или кластером.
