代号Agent Racoon 的新型恶意软件被发现

一个未知的组织正在攻击关键部门并精心选择工具。

根据 Palo Alto Networks Unit 42的一份新报告，身份不明的黑客使用一种名为 Agent Racoon 的新型恶意软件瞄准了美国、中东和非洲的组织。

据Unit 42介绍，Agent Racoon恶意软件家族是使用.NET框架编写的，并使用DNS协议创建隐蔽通道并提供各种后门功能。

这波网络攻击影响了多个行业，包括教育、房地产、零售、非营利组织、电信和政府机构。尽管攻击的确切来源尚未确定，但根据目标的选择和用于逃避检测的技术，人们相信政府实体是幕后黑手。

Palo Alto Networks 正在监控该活动，并将其指定为集群 CL-STA-0002。然而，目前尚不清楚攻击者究竟是如何渗透到这些组织以及攻击发生的具体时间的。

此外，网络犯罪分子还使用了其他工具 – 名为 Mimilite 的 Mimikatz 定制版本和名为 Ntospy 的新实用程序，该实用程序使用特殊的 DLL 模块来实现 网络提供商 窃取凭证并将其传输到远程服务器。尽管 Ntospy 已被用于许多攻击，但 Mimilite 和 Agent Racoon 仅在非营利和政府环境中被发现。

Agent Racoon 通过计划任务激活，允许您执行命令、上传和下载文件，同时伪装成 Google 和 Microsoft OneDrive 更新。与 Agent Racoon 相关的命令和控制 ( C2 ) 基础设施至少自 2020 年 8 月起就已经到位。对提交给VirusTotal的 Agent Racoon 样本的分析显示，第一批样本于 2022 年 7 月上传。

此外，Unit 42 发现数据已从 Microsoft Exchange Server 环境中成功提取，导致电子邮件被盗。与此同时，黑客还收集了 漫游用户个人资料的数据 。研究人员得出的结论是，这套工具尚未与特定的黑客或组织相关联，并且其使用不限于一个活动或集群。