Hackers usam o novo malware Agent Raccoon para invadir alvos dos EUA
4 de Dezembro de 2023

Um novo malware chamado 'Agent Raccoon' está sendo usado em ciberataques contra organizações nos Estados Unidos, Oriente Médio e África.

Os agressores são suspeitos de serem atores de ameaças de estados-nação descobertos pela Unidade 42 da Palo Alto Network, que relata vítimas em vários setores, incluindo governo, telecomunicações, educação, imóveis, varejo e organizações sem fins lucrativos.

"Avaliamos com confiança média que esse cluster de atividades de ameaça se alinha a atores de ameaças relacionados a estados-nação devido à natureza das organizações que foram comprometidas, os TTPs observados e a personalização do conjunto de ferramentas", explicam os pesquisadores da Unidade 42.

"Ainda não confirmamos um estado-nação ou grupo de ameaças específico."

A seleção de alvos, natureza das ferramentas implantadas, métodos de exfiltração de dados, inteligência direcionada e o caráter oculto dos ataques sugerem que seu objetivo é a espionagem.

Agent Raccoon é um malware .NET disfarçado de atualização do Google ou Microsoft OneDrive que usa o protocolo DNS (Domain Name Service) para estabelecer um canal de comunicação sigiloso com a infraestrutura C2 (comando e controle) dos agressores.

O backdoor constrói consultas com subdomínios codificados em Punycode para evasão, enquanto também inclui valores aleatórios para dificultar o rastreamento das comunicações.

A Unidade 42 observa que, embora o próprio malware não tenha um mecanismo de persistência, suas observações sugerem que ele é executado por tarefas agendadas.

O malware é capaz de executar comandos remotamente, fazer upload e download de arquivos e fornecer acesso remoto ao sistema infectado.

Os analistas também observam que capturaram diferentes amostras do Agent Raccoon com pequenas variações de código e otimizações em suas configurações, indicando que os autores do malware estão ativamente desenvolvendo e adaptando-o para requisitos operacionais específicos.

Além do Agent Raccoon, os atacantes também usaram uma versão personalizada da ferramenta de dump de credenciais Mimikatz, chamada 'Mimilite', e um ladrão de credenciais DLL que imita o módulo do Provedor de Rede do Windows, chamado 'Ntospy'.

O Ntospy se registra como um módulo legítimo do Provedor de Rede chamado "credman" para sequestrar o processo de autenticação e capturar credenciais do usuário, um método de ataque bem documentado.

Essa ferramenta também usa nomes de arquivos que se assemelham aos arquivos de atualização da Microsoft e armazena as credenciais interceptadas em formato de texto simples localmente no dispositivo violado.

Por fim, os atacantes usam snap-ins do PowerShell para roubar emails de servidores Microsoft Exchange ou roubar as pastas de perfil itinerante das vítimas, compactando o diretório com o 7-Zip para eficiência e discrição.

O processo de exfiltração de e-mail observado envolveu critérios de pesquisa distintos para cada caixa de entrada, indicando uma abordagem de colheita de dados direcionada que corresponde ao perfil operacional de espionagem presumido.

O cluster de atividade desconhecido tem sobreposições notáveis com outro ator de ameaça que a Unidade 42 rastreia como 'CL-STA-0043', que é caracterizado como um ator de ameaça de estado-nação com confi

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...