Orta Doğu, Afrika ve ABD’deki kuruluşlar, bilinmeyen bir tehdit aktörü tarafından yeni bir arka kapı dağıtmak üzere hedef alındı. Ajan Rakun.
Palo Alto Networks Birim 42 araştırmacısı Chema Garcia, “Bu kötü amaçlı yazılım ailesi .NET çerçevesi kullanılarak yazılmıştır ve gizli bir kanal oluşturmak ve farklı arka kapı işlevleri sağlamak için alan adı hizmeti (DNS) protokolünü kullanır.” söz konusu Cuma analizinde.
Saldırıların hedefleri eğitim, emlak, perakende, kar amacı gütmeyen kuruluşlar, telekom ve hükümetler gibi çeşitli sektörleri kapsıyor. Faaliyet, bilinen bir tehdit aktörüne atfedilmese de, mağduriyet modeli ve kullanılan tespit ve savunmadan kaçınma teknikleri nedeniyle ulus devlet uyumlu olduğu değerlendiriliyor.
Siber güvenlik firması kümeyi CL-STA-0002 adı altında izliyor. Bu kuruluşların nasıl ihlal edildiği ve saldırıların ne zaman gerçekleştiği henüz belli değil.
Düşman tarafından kullanılan diğer araçlardan bazıları Mimikatz’ın Mimilite adı verilen özelleştirilmiş bir sürümünün yanı sıra özel bir DLL modülü uygulayan Ntospy adlı yeni bir yardımcı programı da içeriyor. Şebeke sağlayıcısı Uzak bir sunucunun kimlik bilgilerini çalmak için.
Garcia, “Saldırganlar, etkilenen kuruluşlarda yaygın olarak Ntospy’ı kullanırken, Mimilite aracı ve Agent Racoon kötü amaçlı yazılımı yalnızca kar amacı gütmeyen kuruluşlar ve hükümetle ilgili kuruluşların ortamlarında bulundu.” dedi.
CL-STA-0043 olarak bilinen daha önce tanımlanmış bir tehdit faaliyet kümesinin de Ntospy kullanımıyla bağlantılı olduğunu ve saldırganın aynı zamanda CL-STA-0002 tarafından hedef alınan iki kuruluşu da hedef aldığını belirtmekte fayda var.
Zamanlanmış görevler aracılığıyla yürütülen Agent Raccoon, kendisini Google Güncelleme ve Microsoft OneDrive Güncelleyici ikili dosyaları olarak gizlerken komut yürütmeye, dosya yüklemeye ve dosya indirmeye olanak tanır.
İmplantla bağlantılı olarak kullanılan komuta ve kontrol (C2) altyapısı en az Ağustos 2020’ye kadar uzanıyor. Agent Racoon eserlerinin VirusTotal gönderimleri incelendiğinde, en eski örneğin Temmuz 2022’de yüklendiği görülüyor.
Birim 42, aynı zamanda Microsoft Exchange Server ortamlarından başarılı veri sızdırılmasının kanıtlarını ortaya çıkardığını ve bunun farklı arama kriterleriyle eşleşen e-postaların çalınmasına yol açtığını söyledi. Tehdit aktörünün aynı zamanda kurbanların kurbanlarını da topladığı ortaya çıktı Gezici Profil.
Garcia, “Bu araç seti henüz belirli bir tehdit aktörüyle ilişkilendirilmedi ve tamamen tek bir küme veya kampanyayla sınırlı değil” dedi.
