中东、非洲和美国的组织成为未知威胁行为者分发新后门攻击的目标
Palo Alto Networks的Unit 42研究员Chema Garcia在周五的分析中表示:“这种恶意软件家族使用.NET框架编写,并
这些攻击的目标涵盖了教育、房地产、零售、非营利组织、电信和政府等多个领域。尽管受害者模式和检测及防御规避技术表明与国家支持的行为者有关,但这些活动尚未归咎于已知的威胁行为者。
该网络安全公司正在追踪这一群体,代号为CL-STA-0002。目前尚不清楚这些组织是如何被攻破的,以及攻击发生的时间。
敌对者部署的其他工具包括一个定制版本的Mimikatz,称为Mimilite,以及一个名为Ntospy的新工具,后者利用自定义的DLL模块实现网络提供者,以便将凭据窃取到远程服务器。
Garcia解释说:“尽管攻击者普遍在受影响的组织中使用Ntospy,但Mimilite工具和Agent Racoon恶意软件仅在非营利和政府相关组织的环境中发现。”
值得指出的是,先前已识别的威胁活动群体CL-STA-0043也与Ntospy的使用有关,攻击者还针对两个曾被CL-STA-0002攻击的组织。
Agent Racoon通过计划任务执行,允许命令执行、文件上传和文件下载,同时伪装成Google Update和Microsoft OneDrive Updater二进制文件。
与植入物相关联的命令和控制(C2)基础设施可以追溯到至少2020年8月。对VirusTotal提交的Agent Racoon样本的检查显示,最早的样本上传于2022年7月。
Unit 42表示,它还发现了从Microsoft Exchange Server环境成功数据窃取的证据,导致匹配不同搜索标准的电子邮件被盗。该威胁行为者还被发现窃取受害者的漫游配置文件。
Garcia说:“这套工具集尚未与特定威胁行为者相关联,也不完全限于单一群体或活动。”
原文始发于微信公众号(XDsecurity):威胁情报信息分享|中东、非洲和美国的组织遭遇Agent Racoon后门攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论