Organizaciones en Medio Oriente, \u00c1frica y Estados Unidos han sido atacadas por un actor de amenazas desconocido para distribuir una nueva puerta trasera llamada Agente mapache<\/strong>.<\/p>\n “Esta familia de malware est\u00e1 escrita utilizando el marco .NET y aprovecha el protocolo de servicio de nombres de dominio (DNS) para crear un canal encubierto y proporcionar diferentes funcionalidades de puerta trasera”, dijo Chema Garc\u00eda, investigador de la Unidad 42 de Palo Alto Networks. dicho<\/a> en un an\u00e1lisis del viernes.<\/p>\n Los objetivos de los ataques abarcan varios sectores, como la educaci\u00f3n, el sector inmobiliario, el comercio minorista, las organizaciones sin fines de lucro, las telecomunicaciones y los gobiernos. La actividad no se ha atribuido a un actor de amenaza conocido, aunque se considera que se trata de un Estado-naci\u00f3n alineado debido al patr\u00f3n de victimolog\u00eda y las t\u00e9cnicas de detecci\u00f3n y evasi\u00f3n de defensa utilizadas.<\/p>\n La empresa de ciberseguridad est\u00e1 rastreando el cl\u00faster bajo el nombre CL-STA-0002. Actualmente no est\u00e1 claro c\u00f3mo se violaron estas organizaciones y cu\u00e1ndo tuvieron lugar los ataques.<\/p>\n Algunas de las otras herramientas implementadas por el adversario incluyen una versi\u00f3n personalizada de Mimikatz llamada Mimilite, as\u00ed como una nueva utilidad llamada Ntospy, que utiliza un m\u00f3dulo DLL personalizado que implementa un proveedor de red<\/a> para robar credenciales a un servidor remoto.<\/p>\n “Si bien los atacantes usaban Ntospy com\u00fanmente en las organizaciones afectadas, la herramienta Mimilite y el malware Agent Racoon solo se han encontrado en entornos de organizaciones sin fines de lucro y relacionadas con el gobierno”, explic\u00f3 Garc\u00eda.<\/p>\n Vale la pena se\u00f1alar que un grupo de actividad de amenazas previamente identificado conocido como CL-STA-0043 tambi\u00e9n se ha relacionado con el uso de Ntospy, y el adversario tambi\u00e9n apunt\u00f3 a dos organizaciones que han sido objetivo de CL-STA-0002.<\/p>\n Agent Raccoon, ejecutado mediante tareas programadas, permite la ejecuci\u00f3n de comandos, la carga y descarga de archivos, mientras se disfraza de archivos binarios de Google Update y Microsoft OneDrive Updater.<\/p>\n La infraestructura de comando y control (C2) utilizada en relaci\u00f3n con el implante se remonta al menos a agosto de 2020. Un examen de los env\u00edos de VirusTotal de los artefactos del Agente Racoon muestra que la muestra m\u00e1s antigua se carg\u00f3 en julio de 2022.<\/p>\n La Unidad 42 dijo que tambi\u00e9n descubri\u00f3 evidencia de exfiltraci\u00f3n exitosa de datos de entornos de Microsoft Exchange Server, lo que result\u00f3 en el robo de correos electr\u00f3nicos que coincid\u00edan con diferentes criterios de b\u00fasqueda. Tambi\u00e9n se ha descubierto que el actor de amenazas recolecta los datos de las v\u00edctimas. Perfil m\u00f3vil<\/a>.<\/p>\n “Este conjunto de herramientas a\u00fan no est\u00e1 asociado con un actor de amenaza espec\u00edfico y no se limita por completo a un solo grupo o campa\u00f1a”, dijo Garc\u00eda.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Agent-Racoon-Backdoor-apunta-a-organizaciones-en-Medio-Oriente-Africa.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n