Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA AMENAZA DENOMINADA AGENT RACOON

08/04/2024

NUEVA AMENAZA DENOMINADA AGENT RACOON
El grupo de amenazas denominado CL-STA-0002, ha utilizado herramientas que incluyen una nueva puerta trasera (Backdoor) llamada "Agent Racoon", un módulo DLL llamado "Ntospy" para capturar credenciales de usuario, y una versión personalizada de Mimikatz denominada "Mimilite".

Descripción:

El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva amenaza dirigiéndose a organizaciones en Medio Oriente, África y Estados Unidos.

Los atacantes utilizan directorios temporales, con nombres de archivos como crs.ps1, ebat.bat, y install.bat, haciendo uso del malware Ntospy, un módulo DLL que se ha utilizado para capturar credenciales, contraseñas de Windows a través del proveedor de red durante los procesos de autentificación.

La herramienta Mimilite, una versión personalizada de Mimikatz, se utiliza para la obtención de credenciales mediante la descarga de archivos. Por otro lado, Agent Racoon, escrita y desarrollada en .NET, se especializa en el establecimiento de capacidades de puerta trasera (Backdoor) mediante los protocolos DNS para crear un canal encubierto.

Además de capturar credenciales, el grupo “CL-STA-0002” ha llevado a cabo exfiltración de información confidencial. Utilizando complementos de PowerShell, los atacantes hacen volcado de correos electrónicos desde entornos MS Exchange, comprimiendo y renombrando archivos para imitar actualizaciones de Microsoft. También se ha identificado la exfiltración de perfiles móviles de víctimas, de Active Directory permitiéndole acceder a un perfil al iniciar sesión desde diferentes equipos dentro del mismo entorno, comprimiendo y dividiendo los archivos para su posterior filtración.

Vector de infección:

Agent Racoon se puede distribuir a través de diversas técnicas, como correos tipo phishing apoyados con técnicas de ingeniería social, archivos adjuntos maliciosos; adicional a esto, la descarga de software desde sitios web fraudulentos, con el objetivo de que los usuarios descarguen y ejecuten la carga útil.

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Mantener copias de seguridad actualizadas de los datos críticos y almacenarlas de forma segura fuera de la red principal.
  • Tener especial cuidado con mensajes de correo electrónico de phishing que puedan contener archivos maliciosos u otros vectores de ataques que pretenden suplantar entidades, ya que están siendo utilizados para la distribución de backdoor como Agent Racoon.
  • Realizar monitoreo constante al tráfico de red (entrada y salida) generado en la organización, en búsqueda de comunicaciones anómalas que evidencien equipos comprometidos por Agent Racoon.

 

Leer noticia: https://unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa/