Ajan Racoon Arka Kapısı Orta Doğu, Afrika ve ABD'deki Kuruluşları Hedefliyor

Palo Alto Networks Unit 42 araştırmacısı Chema Garcia, Cuma günü yaptığı bir analizde, "Bu kötü amaçlı yazılım ailesi, .NET çerçevesi kullanılarak yazılmıştır ve gizli bir kanal oluşturmak ve farklı arka kapı işlevleri sağlamak için alan adı hizmeti (DNS) protokolünden yararlanır" dedi.

Saldırıların hedefleri eğitim, emlak, perakende, kar amacı gütmeyen kuruluşlar, telekom ve hükümetler gibi çeşitli sektörleri kapsıyor. Faaliyet, bilinen bir tehdit aktörüne atfedilmedi, ancak mağduriyet modeli ve kullanılan tespit ve savunmadan kaçınma teknikleri nedeniyle ulus devletle uyumlu olduğu değerlendirildi.

Siber güvenlik firması, kümeyi CL-STA-0002 takma adı altında takip ediyor. Şu anda bu kuruluşların nasıl ihlal edildiği ve saldırıların ne zaman gerçekleştiği belli değil.

Düşman tarafından dağıtılan diğer araçlardan bazıları, Mimikatz'ın Mimilite adlı özelleştirilmiş bir sürümünün yanı sıra, uzak bir sunucuya kimlik bilgilerini çalmak için bir ağ sağlayıcısı uygulayan özel bir DLL modülü kullanan Ntospy adlı yeni bir yardımcı programı içerir.

Garcia, "Saldırganlar, etkilenen kuruluşlarda yaygın olarak Ntospy'ı kullanırken, Mimilite aracı ve Agent Racoon kötü amaçlı yazılımı yalnızca kar amacı gütmeyen ve hükümetle ilgili kuruluşların ortamlarında bulundu" dedi.

CL-STA-0043 olarak bilinen önceden tanımlanmış bir tehdit etkinliği kümesinin de Ntospy kullanımıyla bağlantılı olduğunu ve düşmanın CL-STA-0002 tarafından hedef alınan iki kuruluşu da hedef aldığını belirtmekte fayda var.

Zamanlanmış görevler aracılığıyla yürütülen Agent Raccoon, kendisini Google Update ve Microsoft OneDrive Updater ikili dosyaları olarak gizlerken komut yürütmeye, dosya yüklemeye ve dosya indirmeye izin verir.

İmplantla bağlantılı olarak kullanılan komuta ve kontrol (C2) altyapısı en az Ağustos 2020'ye kadar uzanıyor. Agent Racoon yapıtlarının VirusTotal gönderimlerinin incelenmesi, en eski örneğin Temmuz 2022'de yüklendiğini gösteriyor.

Unit 42, Microsoft Exchange Server ortamlarından başarılı bir şekilde veri sızdırıldığına dair kanıtları da ortaya çıkardığını ve bunun sonucunda farklı arama kriterlerine uyan e-postaların çalındığını söyledi. Tehdit aktörünün ayrıca kurbanların Dolaşım Profilini topladığı tespit edildi.

Garcia, "Bu araç seti henüz belirli bir tehdit aktörüyle ilişkili değil ve tamamen tek bir küme veya kampanyayla sınırlı değil" dedi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği