Organizaciones en Medio Oriente, África y Estados Unidos han sido atacadas por un actor de amenazas desconocido para distribuir una nueva puerta trasera llamada Agent Racoon.
«Esta familia de malware está escrita utilizando el marco .NET y aprovecha el protocolo de servicio de nombres de dominio (DNS) para crear un canal encubierto y proporcionar diferentes funcionalidades de puerta trasera», dijo Chema García, investigador de la Unidad 42 de Palo Alto Networks, en un análisis del viernes.
Los objetivos de los ataques abarcan varios sectores, como la educación, el sector inmobiliario, el comercio minorista, las organizaciones sin fines de lucro, las telecomunicaciones y los gobiernos. La actividad no se ha atribuido a un actor de amenaza conocido, aunque se considera que se trata de un Estado-nación alineado debido al patrón de victimología y las técnicas de detección y evasión de defensa utilizadas.
La empresa de ciberseguridad está rastreando el clúster bajo el nombre CL-STA-0002. Actualmente no está claro cómo se violaron estas organizaciones y cuándo tuvieron lugar los ataques.
Algunas de las otras herramientas implementadas por el adversario incluyen una versión personalizada de Mimikatz llamada Mimilite, así como una nueva utilidad llamada Ntospy, que utiliza un módulo DLL personalizado que implementa un proveedor de red para robar credenciales a un servidor remoto.
«Si bien los atacantes usaban Ntospy comúnmente en las organizaciones afectadas, la herramienta Mimilite y el malware Agent Racoon solo se han encontrado en entornos de organizaciones sin fines de lucro y relacionadas con el gobierno», explicó García.
Agent Raccoon, ejecutado mediante tareas programadas, permite la ejecución de comandos, la carga y descarga de archivos, mientras se disfraza de archivos binarios de Google Update y Microsoft OneDrive Updater.