Des organisations au Moyen-Orient, en Afrique et aux États-Unis ont été ciblées par un acteur malveillant inconnu pour distribuer une nouvelle porte dérobée appelée Agent Racoon.
« Cette famille de logiciels malveillants est écrite à l’aide du framework .NET et exploite le protocole DNS (Domain Name Service) pour créer un canal secret et fournir différentes fonctionnalités de porte dérobée », Chema Garcia, chercheur à l’unité 42 de Palo Alto Networks. dit dans une analyse de vendredi.
Les cibles des attaques couvrent divers secteurs tels que l’éducation, l’immobilier, la vente au détail, les organisations à but non lucratif, les télécommunications et les gouvernements. L’activité n’a pas été attribuée à un acteur menaçant connu, bien qu’elle soit considérée comme étant un État-nation aligné en raison du modèle de victimologie et des techniques de détection et d’évasion de la défense utilisées.
La société de cybersécurité suit le cluster sous le nom CL-STA-0002. On ne sait pas encore clairement comment ces organisations ont été piratées ni quand les attaques ont eu lieu.
Certains des autres outils déployés par l’adversaire incluent une version personnalisée de Mimikatz appelée Mimilite ainsi qu’un nouvel utilitaire appelé Ntospy, qui utilise un module DLL personnalisé implémentant un fournisseur de réseau pour voler les informations d’identification sur un serveur distant.
« Alors que les attaquants utilisaient couramment Ntospy dans les organisations concernées, l’outil Mimilite et le malware Agent Racoon n’ont été trouvés que dans les environnements des organisations à but non lucratif et gouvernementales », a expliqué Garcia.
Il convient de souligner qu’un groupe d’activités de menace précédemment identifié, connu sous le nom de CL-STA-0043, a également été lié à l’utilisation de Ntospy, l’adversaire ciblant également deux organisations ciblées par CL-STA-0002.
L’agent Raccoon, exécuté au moyen de tâches planifiées, permet l’exécution de commandes, le téléchargement de fichiers et le téléchargement de fichiers, tout en se déguisant en binaires Google Update et Microsoft OneDrive Updater.
L’infrastructure de commande et de contrôle (C2) utilisée en relation avec l’implant remonte au moins à août 2020. Un examen des soumissions VirusTotal des artefacts de l’agent Racoon montre que le premier échantillon a été téléchargé en juillet 2022.
L’unité 42 a déclaré avoir également découvert des preuves d’une exfiltration réussie de données à partir d’environnements Microsoft Exchange Server, entraînant le vol d’e-mails correspondant à différents critères de recherche. Il a également été constaté que l’acteur menaçant exploitait les victimes Profil itinérant.
« Cet ensemble d’outils n’est pas encore associé à un acteur menaçant spécifique, et n’est pas entièrement limité à un seul cluster ou campagne », a déclaré Garcia.