Orta Doğu, Afrika ve ABD’deki kuruluşlar, bilinmeyen bir tehdit aktörü tarafından yeni bir arka kapı dağıtmak üzere hedef alındı. Memur Racoon.
Palo Alto Networks Birim 42 araştırmacısı Chema Garcia Cuma günü yaptığı bir analizde, “Bu kötü amaçlı yazılım ailesi .NET çerçevesi kullanılarak yazılmıştır ve gizli bir kanal oluşturmak ve farklı arka kapı işlevleri sağlamak için alan adı hizmeti (DNS) protokolünü kullanır.” dedi.
Saldırıların hedefleri eğitim, emlak, perakende, kar amacı gütmeyen kuruluşlar, telekom ve hükümetler gibi çeşitli sektörleri kapsıyor. Faaliyet, bilinen bir tehdit aktörüne atfedilmese de, mağduroloji modeli ve kullanılan tespit ve savunmadan kaçınma teknikleri nedeniyle ulus devlet uyumlu olduğu değerlendiriliyor.
Siber güvenlik firması kümeyi CL-STA-0002 adı altında izliyor. Bu kuruluşların nasıl ihlal edildiği ve saldırıların ne zaman gerçekleştiği henüz belli değil.
Saldırgan tarafından kullanılan diğer araçlardan bazıları arasında Mimikatz’ın Mimilite adı verilen özelleştirilmiş bir sürümü ve uzak bir sunucunun kimlik bilgilerini çalmak için bir ağ sağlayıcı uygulayan özel bir DLL modülü kullanan Ntospy adlı yeni bir yardımcı program yer alıyor.
Garcia, “Saldırganlar, etkilenen kuruluşlarda yaygın olarak Ntospy’ı kullansa da, Mimilite aracı ve Agent Racoon kötü amaçlı yazılımı yalnızca kar amacı gütmeyen kuruluşlar ve hükümetle ilgili kuruluşların ortamlarında bulundu.” dedi.
CL-STA-0043 olarak bilinen daha önce tanımlanmış bir tehdit faaliyet kümesinin de Ntospy kullanımıyla bağlantılı olduğunu ve saldırganın aynı zamanda CL-STA-0002 tarafından hedef alınan iki kuruluşu da hedef aldığını belirtmekte fayda var.
Zamanlanmış görevler aracılığıyla yürütülen Agent Raccoon, kendisini Google Güncelleme ve Microsoft OneDrive Güncelleyici ikili dosyaları olarak gizlerken komut yürütmeye, dosya yüklemeye ve dosya indirmeye olanak tanır.
İmplantla bağlantılı olarak kullanılan komuta ve kontrol (C2) altyapısının tarihi en az Ağustos 2020’ye kadar uzanıyor. Agent Racoon eserlerinin VirusTotal gönderimleri incelendiğinde, en eski örneğin Temmuz 2022’de yüklendiği görülüyor.
Birim 42, aynı zamanda Microsoft Exchange Server ortamlarından başarılı veri sızdırılmasının, farklı arama kriterleriyle eşleşen e-postaların çalınmasına yol açtığının kanıtlarını da ortaya çıkardığını söyledi. Tehdit aktörünün ayrıca kurbanların Dolaşım Profilini topladığı da tespit edildi.
Garcia, “Bu araç seti henüz belirli bir tehdit aktörüyle ilişkilendirilmedi ve tamamen tek bir küme veya kampanyayla sınırlı değil” dedi.