Um novo malware chamado 'Agent Raccoon' está sendo usado em ciberataques contra organizações nos Estados Unidos, Oriente Médio e África.
Os agressores são suspeitos de serem atores de ameaças de estados-nação descobertos pela Unidade 42 da Palo Alto Network, que relata vítimas em vários setores, incluindo governo, telecomunicações, educação, imóveis, varejo e organizações sem fins lucrativos.
"Avaliamos com confiança média que esse cluster de atividades de ameaça se alinha a atores de ameaças relacionados a estados-nação devido à natureza das organizações que foram comprometidas, os TTPs observados e a personalização do conjunto de ferramentas", explicam os pesquisadores da Unidade 42.
"Ainda não confirmamos um estado-nação ou grupo de ameaças específico."
A seleção de alvos, natureza das ferramentas implantadas, métodos de exfiltração de dados, inteligência direcionada e o caráter oculto dos ataques sugerem que seu objetivo é a espionagem.
Agent Raccoon é um malware .NET disfarçado de atualização do Google ou Microsoft OneDrive que usa o protocolo DNS (Domain Name Service) para estabelecer um canal de comunicação sigiloso com a infraestrutura C2 (comando e controle) dos agressores.
O backdoor constrói consultas com subdomínios codificados em Punycode para evasão, enquanto também inclui valores aleatórios para dificultar o rastreamento das comunicações.
A Unidade 42 observa que, embora o próprio malware não tenha um mecanismo de persistência, suas observações sugerem que ele é executado por tarefas agendadas.
O malware é capaz de executar comandos remotamente, fazer upload e download de arquivos e fornecer acesso remoto ao sistema infectado.
Os analistas também observam que capturaram diferentes amostras do Agent Raccoon com pequenas variações de código e otimizações em suas configurações, indicando que os autores do malware estão ativamente desenvolvendo e adaptando-o para requisitos operacionais específicos.
Além do Agent Raccoon, os atacantes também usaram uma versão personalizada da ferramenta de dump de credenciais Mimikatz, chamada 'Mimilite', e um ladrão de credenciais DLL que imita o módulo do Provedor de Rede do Windows, chamado 'Ntospy'.
O Ntospy se registra como um módulo legítimo do Provedor de Rede chamado "credman" para sequestrar o processo de autenticação e capturar credenciais do usuário, um método de ataque bem documentado.
Essa ferramenta também usa nomes de arquivos que se assemelham aos arquivos de atualização da Microsoft e armazena as credenciais interceptadas em formato de texto simples localmente no dispositivo violado.
Por fim, os atacantes usam snap-ins do PowerShell para roubar emails de servidores Microsoft Exchange ou roubar as pastas de perfil itinerante das vítimas, compactando o diretório com o 7-Zip para eficiência e discrição.
O processo de exfiltração de e-mail observado envolveu critérios de pesquisa distintos para cada caixa de entrada, indicando uma abordagem de colheita de dados direcionada que corresponde ao perfil operacional de espionagem presumido.
O cluster de atividade desconhecido tem sobreposições notáveis com outro ator de ameaça que a Unidade 42 rastreia como 'CL-STA-0043', que é caracterizado como um ator de ameaça de estado-nação com confi
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...