I en nylig opdagelse har cybersikkerhedseksperter hos NSFOCUS Security Labs afsløret en hidtil ukendt phishing-baseret angrebsmetode, mens de udfører trusselsjagt.
Yderligere efterforskning førte til identifikation af to nye trojanske heste og sjældne angrebsteknikker.
NSFOCUS Security Labs har mistanke om involveringen af en højt kvalificeret Advanced Persistent Threat (APT)-aktør bag denne innovative phishing-proces, der bruger den som et primært middel til at infiltrere specifikke mål inden for domæner.
Gerningsmanden, kendt som AtlasCross, har introduceret to nye trojanske heste i trusselslandskabet: DangerAds og AtlasAgent, som opdaget af NSFOCUS Security Labs.
Sikkerhedsanalytikere har bekræftet, at de trusselsaktører, der er forbundet med AtlasCross, aktivt bruger våbenbaserede Word-dokumenter til at lette implementering af malware.
Sådan foregik angrebet:
AtlasCross påbegyndte overfaldet med et lokkedokument med titlen 'Blood Drive September 2023.docm', der udgav sig som en amerikansk Røde Kors-bloddonationsfil. Ved åbning bliver ofrene bedt om at aktivere ordredigering. Aktivering af makroer afslører skjult indhold, der vedrører det amerikanske Røde Kors bloddonationsinitiativ i lokkedokumentet. Hackernes omhyggelige design indikerer et målrettet cyberangreb på Røde Kors-tilknyttede selskaber i den efterfølgende angrebsfase.
Angrebet forløber i tre faser: lokkedokument, loader og trojansk hest. Den ondsindede makro i lokkedokumentet udfører kritiske funktioner, herunder frigivelse af nyttelast, planlægning og upload af offerværtsinformation. Det udpakker og gemmer filer som:
- KB4495667.zip
- KB4495667.pkg
I den anden angrebsfase fungerer det ondsindede program 'KB4495667.pkg,' kaldet 'DangerAds' af NSFOCUS Security Labs, som loader-trojaneren. Den vurderer værtsmiljøet og udfører en forudbygget shellkode for at indlæse nyttelasten i tredje trin. Navnlig sker aktivering udelukkende ved detektering af specifikke bruger- eller domænestrenge, hvilket indikerer intentioner om intra-domænepenetrering.
Loader-trojaneren injicerer et x86- eller x64-DLL-program i hukommelsen som den ultimative nyttelast, betegnet 'AtlasAgent' af NSFOCUS Security Labs. AtlasAgents kernefunktioner omfatter:
- Indsamling af værtsdata
- Udfører shellcode
- Downloader
- Udførelse af handlinger
AtlasCross har brugt en bred vifte af angrebsstrategier, der understreger forsvarunddragelse, ressourceudvikling, vedholdenhed og mere, hvilket illustrerer deres akutte bevidsthed om defensive foranstaltninger.
Nedenfor er CMD-instruktionerne, der understøttes af AtlasAgent Trojan, sammen med deres respektive funktioner:
Instruktioner og funktioner
AtlasCross viser enestående færdigheder inden for proces- og værktøjsudvikling, opnået ved at integrere og tilpasse:
- Forskellige hacking-teknologier
- Prioritering af sikkerhed frem for effektivitet
- Konsekvent raffinering af deres strategier
Disse karakteristika fremhæver deres vedvarende trussel på højt niveau, hvilket potentielt signalerer betydelige mål for kommende indtrængen.
Indikatorer på ”compromise” (IOC'ere:
Comments