ผู้โจมตีเป็นผู้คุกคามต่อรัฐชาติที่ถูกค้นพบโดยหน่วยที่ 42 ของพาโล อัลโต เน็ตเวิร์ก ซึ่งรายงานว่าพบเหยื่อจากหลายภาคส่วน รวมถึงหน่วยงานภาครัฐ โทรคมนาคม การศึกษา อสังหาริมทรัพย์ การค้าปลีก และองค์กรไม่แสวงหาผลกำไร
Agent Raccoon เป็นมัลแวร์ .NET ที่ปลอมตัวเป็น Google Update หรือ Microsoft OneDrive Updater ซึ่งใช้ประโยชน์จากโปรโตคอล DNS (Domain Name Service) เพื่อสร้างช่องทางการสื่อสารแอบแฝงด้วยโครงสร้างพื้นฐาน C2 (คำสั่งและการควบคุม) ของผู้โจมตี ‘backdoor’ สร้างแบบสอบถามด้วยโดเมนย่อยที่เข้ารหัส Punycode เพื่อหลีกเลี่ยง ในขณะเดียวกันก็รวมค่าแบบสุ่มเพื่อทำให้การสื่อสารยากต่อการติดตาม
มัลแวร์มีความสามารถในการดำเนินการคำสั่งจากระยะไกล การอัพโหลดและดาวน์โหลดไฟล์ และให้การเข้าถึงระบบที่ติดไวรัสจากระยะไกล นักวิเคราะห์ยังทราบด้วยว่าพวกเขาได้จับตัวอย่าง Agent Raccoon ที่แตกต่างกันโดยมีโค้ดที่เปลี่ยนแปลงเล็กน้อยและการตั้งค่าให้เหมาะสม ซึ่งบ่งชี้ว่าผู้เขียนมัลแวร์กำลังพัฒนาและปรับใช้ให้เข้ากับข้อกำหนดการปฏิบัติงานเฉพาะ นอกเหนือจาก Agent Raccoon แล้ว ผู้โจมตียังใช้ประโยชน์การทิ้งข้อมูลรับรอง Mimikatz ในเวอร์ชันที่ปรับแต่งเอง ซึ่งมีชื่อว่า 'Mimilite' และขโมยข้อมูล DLL ที่เลียนแบบโมดูล Windows Network Provider ที่ชื่อว่า 'Ntospy' ลงทะเบียนเป็นโมดูลผู้ให้บริการเครือข่ายที่ถูกต้องตามกฎหมายชื่อ "credman" เพื่อแย่งชิงกระบวนการตรวจสอบสิทธิ์และบันทึกข้อมูลประจำตัวผู้ใช้ ซึ่งเป็นวิธีการโจมตีที่ได้รับการบันทึกไว้อย่างดี เครื่องมือนี้ยังใช้ชื่อไฟล์ที่คล้ายกับไฟล์ Microsoft Update และจัดเก็บข้อมูลประจำตัวที่ถูกดักไว้ในรูปแบบข้อความธรรมดาบนอุปกรณ์ที่ถูกละเมิด สุดท้าย ผู้โจมตีใช้สแน็ปอิน PowerShell เพื่อขโมยอีเมลจากเซิร์ฟเวอร์ Microsoft Exchange หรือขโมยโฟลเดอร์ Roaming Profile ของเหยื่อ โดยบีบอัดไดเร็กทอรีด้วย 7-Zip เพื่อประสิทธิภาพและการซ่อนตัว
คำแนะนำ
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว