- 9,412
- 18
- 8 Ноя 2022
Неизвестная группировка атакует ключевые сектора и тщательно подбирает инструменты.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Palo Alto Networks Unit 42 , неопознанные хакеры атаковали организации в США, на Ближнем Востоке и в Африке, используя новый тип вредоносного ПО под названием Agent Racoon.
По данным Unit 42, семейство вредоносных программ Agent Racoon написано с использованием платформы .NET и использует протокол DNS для создания скрытого канала и обеспечения различных функций бэкдора.
Волна кибератак затронула разнообразные сектора, включая образовательные учреждения, недвижимость, розничную торговлю, некоммерческие организации, сферу телекоммуникаций и правительственные учреждения. Хотя конкретный источник атак пока не установлен, существует предположение, что за ними стоит государственная структура, исходя из выбора целей и применяемых техник уклонения от обнаружения.
Фирма Palo Alto Networks ведет мониторинг кампании, обозначив её как кластер CL-STA-0002. Однако до сих пор остается неясным, как именно злоумышленники проникали в организации и когда точно произошли атаки.
Кроме того, киберпреступники использовали дополнительные инструменты – настроенная версия Mimikatz под названием Mimilite и новая утилита Ntospy, которая использует специальный модуль DLL, реализующий Для просмотра ссылки Войдиили Зарегистрируйся для кражи учетных данных и их передачи на удаленный сервер. Хотя Ntospy использовался во многих атаках, Mimilite и Agent Racoon обнаружены только в среде некоммерческих и правительственных организаций.
Agent Racoon, активируемый через запланированные задачи, позволяет выполнять команды, загружать и скачивать файлы, при этом маскируясь под обновления Google и Microsoft OneDrive. Инфраструктура управления и контроля (Command and Control, C2 ), связанная с Agent Racoon, существует как минимум с августа 2020 года. Анализ поданных в VirusTotal образцов Agent Racoon показывает, что первые образцы были загружены в июле 2022 года.
Кроме того, Unit 42 обнаружила успешное извлечение данных из среды Microsoft Exchange Server, что привело к краже электронной почты. При этом взломщики также собирали данные Для просмотра ссылки Войдиили Зарегистрируйся пользователей. Исследователи заключили, что комплекс инструментов пока не ассоциируется с конкретным хакером или группой, и его применение не ограничивается одной кампанией или кластером.
Согласно Для просмотра ссылки Войди
По данным Unit 42, семейство вредоносных программ Agent Racoon написано с использованием платформы .NET и использует протокол DNS для создания скрытого канала и обеспечения различных функций бэкдора.
Волна кибератак затронула разнообразные сектора, включая образовательные учреждения, недвижимость, розничную торговлю, некоммерческие организации, сферу телекоммуникаций и правительственные учреждения. Хотя конкретный источник атак пока не установлен, существует предположение, что за ними стоит государственная структура, исходя из выбора целей и применяемых техник уклонения от обнаружения.
Фирма Palo Alto Networks ведет мониторинг кампании, обозначив её как кластер CL-STA-0002. Однако до сих пор остается неясным, как именно злоумышленники проникали в организации и когда точно произошли атаки.
Кроме того, киберпреступники использовали дополнительные инструменты – настроенная версия Mimikatz под названием Mimilite и новая утилита Ntospy, которая использует специальный модуль DLL, реализующий Для просмотра ссылки Войди
Agent Racoon, активируемый через запланированные задачи, позволяет выполнять команды, загружать и скачивать файлы, при этом маскируясь под обновления Google и Microsoft OneDrive. Инфраструктура управления и контроля (Command and Control, C2 ), связанная с Agent Racoon, существует как минимум с августа 2020 года. Анализ поданных в VirusTotal образцов Agent Racoon показывает, что первые образцы были загружены в июле 2022 года.
Кроме того, Unit 42 обнаружила успешное извлечение данных из среды Microsoft Exchange Server, что привело к краже электронной почты. При этом взломщики также собирали данные Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
