Ajan Racoon Arka Kapısı Orta Doğu, Afrika ve ABD'deki Kuruluşları Hedefliyor
Orta Doğu, Afrika ve ABD'deki kuruluşlar, Agent Racoon adlı yeni bir arka kapı dağıtmak için bilinmeyen bir tehdit aktörü tarafından hedef alındı.
Palo Alto Networks Unit 42 araştırmacısı Chema Garcia, Cuma günü yaptığı bir analizde, "Bu kötü amaçlı yazılım ailesi, .NET çerçevesi kullanılarak yazılmıştır ve gizli bir kanal oluşturmak ve farklı arka kapı işlevleri sağlamak için alan adı hizmeti (DNS) protokolünden yararlanır" dedi.
Saldırıların hedefleri eğitim, emlak, perakende, kar amacı gütmeyen kuruluşlar, telekom ve hükümetler gibi çeşitli sektörleri kapsıyor. Faaliyet, bilinen bir tehdit aktörüne atfedilmedi, ancak mağduriyet modeli ve kullanılan tespit ve savunmadan kaçınma teknikleri nedeniyle ulus devletle uyumlu olduğu değerlendirildi.
Siber güvenlik firması, kümeyi CL-STA-0002 takma adı altında takip ediyor. Şu anda bu kuruluşların nasıl ihlal edildiği ve saldırıların ne zaman gerçekleştiği belli değil.
Düşman tarafından dağıtılan diğer araçlardan bazıları, Mimikatz'ın Mimilite adlı özelleştirilmiş bir sürümünün yanı sıra, uzak bir sunucuya kimlik bilgilerini çalmak için bir ağ sağlayıcısı uygulayan özel bir DLL modülü kullanan Ntospy adlı yeni bir yardımcı programı içerir.
Garcia, "Saldırganlar, etkilenen kuruluşlarda yaygın olarak Ntospy'ı kullanırken, Mimilite aracı ve Agent Racoon kötü amaçlı yazılımı yalnızca kar amacı gütmeyen ve hükümetle ilgili kuruluşların ortamlarında bulundu" dedi.
CL-STA-0043 olarak bilinen önceden tanımlanmış bir tehdit etkinliği kümesinin de Ntospy kullanımıyla bağlantılı olduğunu ve düşmanın CL-STA-0002 tarafından hedef alınan iki kuruluşu da hedef aldığını belirtmekte fayda var.
Zamanlanmış görevler aracılığıyla yürütülen Agent Raccoon, kendisini Google Update ve Microsoft OneDrive Updater ikili dosyaları olarak gizlerken komut yürütmeye, dosya yüklemeye ve dosya indirmeye izin verir.
İmplantla bağlantılı olarak kullanılan komuta ve kontrol (C2) altyapısı en az Ağustos 2020'ye kadar uzanıyor. Agent Racoon yapıtlarının VirusTotal gönderimlerinin incelenmesi, en eski örneğin Temmuz 2022'de yüklendiğini gösteriyor.
Unit 42, Microsoft Exchange Server ortamlarından başarılı bir şekilde veri sızdırıldığına dair kanıtları da ortaya çıkardığını ve bunun sonucunda farklı arama kriterlerine uyan e-postaların çalındığını söyledi. Tehdit aktörünün ayrıca kurbanların Dolaşım Profilini topladığı tespit edildi.
Garcia, "Bu araç seti henüz belirli bir tehdit aktörüyle ilişkili değil ve tamamen tek bir küme veya kampanyayla sınırlı değil" dedi.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi