Organizações no Oriente Médio, África e EUA foram alvo de um ator de ameaças desconhecido para distribuir um novo backdoor chamado Agent Racoon.
"Esta família de malware é escrita usando o framework .NET e aproveita o protocolo de serviço de nome de domínio (DNS) para criar um canal encoberto e fornecer diferentes funcionalidades de backdoor", disse Chema Garcia, pesquisador da Palo Alto Networks Unit 42, em uma análise de sexta-feira.
Os alvos dos ataques abrangem vários setores como educação, imobiliário, varejo, sem fins lucrativos, telecomunicações e governos.
A atividade não foi atribuída a um ator de ameaças conhecido, embora seja avaliada como alinhada a um estado-nação, devido ao padrão de vitimologia e às técnicas de detecção e evasão de defesa usadas.
A empresa de cibersegurança está rastreando o cluster sob o apelido de CL-STA-0002.
Atualmente, não está claro como estas organizações foram violadas e quando os ataques ocorreram.
Algumas das outras ferramentas implantadas pelo adversário incluem uma versão personalizada do Mimikatz chamada Mimilite e uma nova utilidade chamada Ntospy, que utiliza um módulo DLL personalizado implementando um provedor de rede para roubar credenciais para um servidor remoto.
"Embora os atacantes comumente usassem Ntospy em todas as organizações afetadas, a ferramenta Mimilite e o malware Agent Racoon foram encontrados apenas em ambientes de organizações sem fins lucrativos e relacionadas ao governo", explicou Garcia.
Vale ressaltar que uma atividade de ameaças previamente identificada conhecida como CL-STA-0043 também foi vinculada ao uso de Ntospy, com o adversário também visando duas organizações que foram alvo do CL-STA-0002.
O Agent Raccoon, executado por meio de tarefas agendadas, permite a execução de comandos, upload de arquivos e download de arquivos, enquanto se disfarça como atualizações do Google e do Microsoft OneDrive.
A infraestrutura de comando e controle (C2) usada em conexão com o implante remonta a pelo menos agosto de 2020.
Uma análise das submissões do VirusTotal dos artefatos do Agent Racoon mostra que a amostra mais antiga foi enviada em julho de 2022.
A Unit 42 disse que também descobriu evidências de exfiltração de dados bem-sucedida de ambientes do servidor Microsoft Exchange, resultando no roubo de e-mails que correspondem a diferentes critérios de pesquisa.
Foi descoberto que o ator da ameaça também colhe o perfil móvel das vítimas.
"Este conjunto de ferramentas ainda não está associado a um ator de ameaça específico e não está totalmente limitado a um único cluster ou campanha", disse Garcia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...