「このマルウェア ファミリは .NET フレームワークを使用して記述されており、ドメイン ネーム サービス (DNS) プロトコルを利用して秘密のチャネルを作成し、さまざまなバックドア機能を提供しています」とパロアルト ネットワークス ユニット 42 の研究者チェマ ガルシア氏は金曜日の分析で述べました。
攻撃の標的は、教育、不動産、小売、非営利団体、電気通信、政府などさまざまな分野に及んでいます。この活動はまだ既知の脅威アクターによるものではありませんが、被害者のパターンや使用されている検出および防御回避技術に基づいて、国家機関に関連していると考えられます。
この家サイバーセキュリティ同社はクラスターをCL-STA-0002と名付け、追跡している。グループがどのようにして侵入され、いつ攻撃が行われたのかは不明です。
攻撃者が使用するその他のツールには、Mimilite として知られる Mimikatz のカスタマイズ バージョンや、ネットワーク プロバイダーを実装するカスタム DLL モジュールを利用してリモート サーバーの資格情報を盗む Ntospy と呼ばれる新しいユーティリティが含まれます。
「攻撃者は通常、影響を受ける組織内で Ntospy を使用しますが、Mimilite ツールと Agent Racoon マルウェアは非営利組織および政府関連組織でのみ発見されています」と Garcia 氏は説明しました。
以前に確認された脅威アクティビティ クラスター CL-STA-0043 も Ntospy の使用に関連しており、攻撃者は CL-STA-0002 によって攻撃された 2 つの組織も標的にしていることは注目に値します。
Agent Racoon はスケジュールされたタスクを通じて実行され、コマンドの実行、ファイルのアップロードとダウンロード、Google Update および Microsoft OneDrive Updater バイナリとしての偽装を可能にします。
インプラントに関連する指揮統制 (C2) インフラストラクチャは、少なくとも 2020 年 8 月に遡ります。 VirusTotal に送信された Agent Racoon サンプルの調査により、最も古いサンプルが 2022 年 7 月にアップロードされたことが判明しました。
Unit 42 は、Microsoft Exchange Server 環境からさまざまな検索条件に一致する電子メールを盗むことに成功したデータ侵害の証拠も発見したと述べました。脅威アクターが被害者のローミングプロファイルを盗むことも発見されています。
「このツールセットは特定の攻撃者と関連付けられておらず、単一のクラスターやキャンペーンに完全に限定されているわけでもありません」とガルシア氏は述べた。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/agent-racoon-backdoor-targets.html。
