top of page
Forfatters billedeThomas Pedersen

AtlasCross APT udnytter word-dokumenter til malware-implementering

I en nylig opdagelse har cybersikkerhedseksperter hos NSFOCUS Security Labs afsløret en hidtil ukendt phishing-baseret angrebsmetode, mens de udfører trusselsjagt.


NSFOCUS Security Labs, Cybersikkerhed, AtlasCross APT, Malware, Hackergruppe, IT-kriminalitet, IT-sikkerhed

Yderligere efterforskning førte til identifikation af to nye trojanske heste og sjældne angrebsteknikker.


NSFOCUS Security Labs har mistanke om involveringen af ​​en højt kvalificeret Advanced Persistent Threat (APT)-aktør bag denne innovative phishing-proces, der bruger den som et primært middel til at infiltrere specifikke mål inden for domæner.


Gerningsmanden, kendt som AtlasCross, har introduceret to nye trojanske heste i trusselslandskabet: DangerAds og AtlasAgent, som opdaget af NSFOCUS Security Labs.


Sikkerhedsanalytikere har bekræftet, at de trusselsaktører, der er forbundet med AtlasCross, aktivt bruger våbenbaserede Word-dokumenter til at lette implementering af malware.


Sådan foregik angrebet:


AtlasCross påbegyndte overfaldet med et lokkedokument med titlen 'Blood Drive September 2023.docm', der udgav sig som en amerikansk Røde Kors-bloddonationsfil. Ved åbning bliver ofrene bedt om at aktivere ordredigering. Aktivering af makroer afslører skjult indhold, der vedrører det amerikanske Røde Kors bloddonationsinitiativ i lokkedokumentet. Hackernes omhyggelige design indikerer et målrettet cyberangreb på Røde Kors-tilknyttede selskaber i den efterfølgende angrebsfase.

Angrebet forløber i tre faser: lokkedokument, loader og trojansk hest. Den ondsindede makro i lokkedokumentet udfører kritiske funktioner, herunder frigivelse af nyttelast, planlægning og upload af offerværtsinformation. Det udpakker og gemmer filer som:


- KB4495667.zip

- KB4495667.pkg


I den anden angrebsfase fungerer det ondsindede program 'KB4495667.pkg,' kaldet 'DangerAds' af NSFOCUS Security Labs, som loader-trojaneren. Den vurderer værtsmiljøet og udfører en forudbygget shellkode for at indlæse nyttelasten i tredje trin. Navnlig sker aktivering udelukkende ved detektering af specifikke bruger- eller domænestrenge, hvilket indikerer intentioner om intra-domænepenetrering.


Loader-trojaneren injicerer et x86- eller x64-DLL-program i hukommelsen som den ultimative nyttelast, betegnet 'AtlasAgent' af NSFOCUS Security Labs. AtlasAgents kernefunktioner omfatter:


- Indsamling af værtsdata

- Udfører shellcode

- Downloader

- Udførelse af handlinger


AtlasCross har brugt en bred vifte af angrebsstrategier, der understreger forsvarunddragelse, ressourceudvikling, vedholdenhed og mere, hvilket illustrerer deres akutte bevidsthed om defensive foranstaltninger.


Nedenfor er CMD-instruktionerne, der understøttes af AtlasAgent Trojan, sammen med deres respektive funktioner:


Instruktioner og funktioner


AtlasCross viser enestående færdigheder inden for proces- og værktøjsudvikling, opnået ved at integrere og tilpasse:


- Forskellige hacking-teknologier

- Prioritering af sikkerhed frem for effektivitet

- Konsekvent raffinering af deres strategier


Disse karakteristika fremhæver deres vedvarende trussel på højt niveau, hvilket potentielt signalerer betydelige mål for kommende indtrængen.


Indikatorer på ”compromise” (IOC'ere:


NSFOCUS Security Labs, Cybersikkerhed, AtlasCross APT, Malware, Hackergruppe, IT-kriminalitet, IT-sikkerhed




Comments


bottom of page