Organizaciones en Medio Oriente, África y Estados Unidos han sido atacadas por un actor de amenazas desconocido para distribuir una nueva puerta trasera llamada Agente mapache.
«Esta familia de malware está escrita utilizando el marco .NET y aprovecha el protocolo de servicio de nombres de dominio (DNS) para crear un canal encubierto y proporcionar diferentes funcionalidades de puerta trasera», dijo Chema García, investigador de la Unidad 42 de Palo Alto Networks. dicho en un análisis del viernes.
Los objetivos de los ataques abarcan varios sectores, como la educación, el sector inmobiliario, el comercio minorista, las organizaciones sin fines de lucro, las telecomunicaciones y los gobiernos. La actividad no se ha atribuido a un actor de amenaza conocido, aunque se considera que se trata de un Estado-nación alineado debido al patrón de victimología y las técnicas de detección y evasión de defensa utilizadas.
La empresa de ciberseguridad está rastreando el clúster bajo el nombre CL-STA-0002. Actualmente no está claro cómo se violaron estas organizaciones y cuándo tuvieron lugar los ataques.
Algunas de las otras herramientas implementadas por el adversario incluyen una versión personalizada de Mimikatz llamada Mimilite, así como una nueva utilidad llamada Ntospy, que utiliza un módulo DLL personalizado que implementa un proveedor de red para robar credenciales a un servidor remoto.
«Si bien los atacantes usaban Ntospy comúnmente en las organizaciones afectadas, la herramienta Mimilite y el malware Agent Racoon solo se han encontrado en entornos de organizaciones sin fines de lucro y relacionadas con el gobierno», explicó García.
Vale la pena señalar que un grupo de actividad de amenazas previamente identificado conocido como CL-STA-0043 también se ha relacionado con el uso de Ntospy, y el adversario también apuntó a dos organizaciones que han sido objetivo de CL-STA-0002.
Agent Raccoon, ejecutado mediante tareas programadas, permite la ejecución de comandos, la carga y descarga de archivos, mientras se disfraza de archivos binarios de Google Update y Microsoft OneDrive Updater.
La infraestructura de comando y control (C2) utilizada en relación con el implante se remonta al menos a agosto de 2020. Un examen de los envíos de VirusTotal de los artefactos del Agente Racoon muestra que la muestra más antigua se cargó en julio de 2022.
La Unidad 42 dijo que también descubrió evidencia de exfiltración exitosa de datos de entornos de Microsoft Exchange Server, lo que resultó en el robo de correos electrónicos que coincidían con diferentes criterios de búsqueda. También se ha descubierto que el actor de amenazas recolecta los datos de las víctimas. Perfil móvil.
«Este conjunto de herramientas aún no está asociado con un actor de amenaza específico y no se limita por completo a un solo grupo o campaña», dijo García.