Кто стоит за Agent Racoon? Тайный хакер, который атакует Android и угрожает мировой безопасности

Согласно новому отчёту Palo Alto Networks Unit 42, неопознанные хакеры атаковали организации в США, на Ближнем Востоке и в Африке, используя новый тип вредоносного ПО под названием Agent Racoon.

По данным Unit 42, семейство вредоносных программ Agent Racoon написано с использованием платформы .NET и использует протокол DNS для создания скрытого канала и обеспечения различных функций бэкдора.

Волна кибератак затронула разнообразные сектора, включая образовательные учреждения, недвижимость, розничную торговлю, некоммерческие организации, сферу телекоммуникаций и правительственные учреждения. Хотя конкретный источник атак пока не установлен, существует предположение, что за ними стоит государственная структура, исходя из выбора целей и применяемых техник уклонения от обнаружения.

Фирма Palo Alto Networks ведет мониторинг кампании, обозначив её как кластер CL-STA-0002. Однако до сих пор остается неясным, как именно злоумышленники проникали в организации и когда точно произошли атаки.

Кроме того, киберпреступники использовали дополнительные инструменты – настроенная версия Mimikatz под названием Mimilite и новая утилита Ntospy, которая использует специальный модуль DLL, реализующий сетевой провайдер для кражи учетных данных и их передачи на удаленный сервер. Хотя Ntospy использовался во многих атаках, Mimilite и Agent Racoon обнаружены только в среде некоммерческих и правительственных организаций.

Agent Racoon, активируемый через запланированные задачи, позволяет выполнять команды, загружать и скачивать файлы, при этом маскируясь под обновления Google и Microsoft OneDrive. Инфраструктура управления и контроля (Command and Control, C2), связанная с Agent Racoon, существует как минимум с августа 2020 года. Анализ поданных в VirusTotal образцов Agent Racoon показывает, что первые образцы были загружены в июле 2022 года.

Кроме того, Unit 42 обнаружила успешное извлечение данных из среды Microsoft Exchange Server, что привело к краже электронной почты. При этом взломщики также собирали данные перемещаемых профилей пользователей. Исследователи заключили, что комплекс инструментов пока не ассоциируется с конкретным хакером или группой, и его применение не ограничивается одной кампанией или кластером.