新威胁：Agent Racoon 后门攻击数据泄露

关键要点

• 新的 CL-STA-0002 威胁集群对美国、非洲和中东的多个行业造成了影响。
• Agent Racoon 往后门使用伪装的方式，利用 Google Update 和 Microsoft OneDrive Updater 的二进制文件。
• 新开发的 Ntospy 工具能够提取凭据并将其发送到远程服务器。
• 攻击者特别针对非营利组织和政府相关机构的环境。

在新近报道的 CL-STA-0002 威胁集群下，美国、非洲和中东的政府机构、房地产、通信、零售等多个行业遭受了网络攻击。此次攻击中，攻击者使用了新型的 Agent Racoon 后门，定制的 Mimikatz 变种 Mimilite 以及新的 Ntospy 工具。据 的报道显示，Agent Racoon 不仅能够执行指令，还可伪装成 Google Update 和 Microsoft OneDrive Updater的二进制文件，简化了文件的上传和下载。

另一方面，Ntospy 利用定制的 DLL 模块，使得凭据可以被提取并发送至远程服务器。这些使用攻击工具的威胁参与者几乎成功获取了来自 MicrosoftExchange Server 实例的电子邮件和漫游配置文件。研究人员 Chema Garcia 提到：“尽管 Ntospy工具普遍被攻击者在受影响组织中使用，但 Mimilite 工具和 Agent Racoon 恶意软件仅在一些非营利组织和政府相关机构的环境中出现。”

推荐关注：

此次攻击事件突显了此类网络安全威胁的日益严重，以及不同行业需要加强防护措施的重要性。