Μια νέα ομάδα hacking APT με την ονομασία AtlasCross στοχεύει οργανισμούς με θέλγητρα phishing που υποδύονται τον Αμερικανικό Ερυθρό Σταυρό για την παράδοση backdoor malware.
Η εταιρεία κυβερνοασφάλειας NSFocus εντόπισε δύο undocumented trojans, τα DangerAds και AtlasAgent, που σχετίζονται με επιθέσεις από τη νέα ομάδα APT.
Η NSFocus αναφέρει ότι οι χάκερ της ομάδας AtlasCross είναι εξελιγμένοι, εμποδίζοντας τους ερευνητές να προσδιορίσουν την προέλευσή τους.
Οι επιθέσεις της ομάδας AtlassCross ξεκινούν με ένα μήνυμα ηλεκτρονικού “ψαρέματος” που προσποιείται ότι είναι από τον Αμερικανικό Ερυθρό Σταυρό, ζητώντας από τον παραλήπτη να συμμετάσχει σε ένα “September 2023 Blood Drive.”
Αυτά τα email περιέχουν ένα συνημμένο εγγράφου Word (.docm) με δυνατότητα μακροεντολής που παροτρύνει το θύμα να κάνει κλικ στο “Enable Content” για να προβάλει το κρυφό περιεχόμενο.
Ωστόσο, κάτι τέτοιο θα ενεργοποιήσει κακόβουλες μακροεντολές που μολύνουν τη συσκευή Windows με τα malware DangerAds και AtlasAgent.
Οι μακροεντολές εξάγουν πρώτα ένα αρχείο ZIP στη συσκευή Windows για να αποθέσουν ένα αρχείο με το όνομα KB4495667.pkg, το οποίο είναι το πρόγραμμα προφίλ συστήματος DangerAds και το malware loader. Δημιουργείται μια προγραμματισμένη εργασία με το όνομα “Microsoft Office Updates” για την εκκίνηση του DangerAds καθημερινά για τρεις ημέρες.
Το DangerAds λειτουργεί ως loader, αξιολογώντας το περιβάλλον host και εκτελώντας τον ενσωματωμένο shellcode, εάν βρεθούν συγκεκριμένες συμβολοσειρές στο όνομα χρήστη ή το όνομα domain του συστήματος, ένα παράδειγμα του στενού εύρους στόχευσης της AtlasCross.
Τελικά, το DangerAds φορτώνει το x64.dll, το οποίο είναι το trojan AtlasAgent, το τελικό ωφέλιμο φορτίο που παραδίδεται στην επίθεση.
Λεπτομέρειες AtlasAgent
Το AtlasAgent είναι ένα προσαρμοσμένο trojan C++ και οι βασικές του λειτουργίες περιλαμβάνουν την εξαγωγή λεπτομερειών host και διεργασίας, την αποτροπή εκκίνησης πολλαπλών προγραμμάτων, την εκτέλεση πρόσθετου shellcode στο μηχάνημα που έχει παραβιαστεί και τη λήψη αρχείων από τους διακομιστές C2 του εισβολέα.
Κατά την πρώτη εκκίνηση, το κακόβουλο λογισμικό στέλνει πληροφορίες στους διακομιστές του εισβολέα, συμπεριλαμβανομένων του ονόματος τοπικού υπολογιστή, των πληροφοριών προσαρμογέα δικτύου, της τοπικής διεύθυνσης IP, των πληροφοριών της κάρτας δικτύου, της αρχιτεκτονικής και της έκδοσης του συστήματος λειτουργικού συστήματος και μιας λίστας διαδικασιών που εκτελούνται.
Στη συνέχεια, οι διακομιστές του εισβολέα θα ανταποκριθούν με εντολές για εκτέλεση του AtlasAgent, κάτι που μπορεί να γίνει χρησιμοποιώντας νέα threads ή μέσα σε μία από τις υπάρχουσες διεργασίες, καθιστώντας δυσκολότερο τον εντοπισμό και τη διακοπή των εργαλείων ασφαλείας.
Ενώ η αναφορά της NSFocus είναι η πρώτη που περιγράφει λεπτομερώς τη νέα ομάδα hacking, η AtlasCross παραμένει μια εν πολλοίς άγνωστη απειλή που λειτουργεί με ασαφή κίνητρα και σκοτεινό εύρος στόχευσης.
Η επιλεκτική στόχευση της ομάδας, τα ειδικά κατασκευασμένα trojans και οι malware loaders, σε συνδυασμό με την προτίμηση για διακριτικές μεθόδους μόλυνσης έναντι της αποτελεσματικότητας, τους επέτρεψαν να λειτουργούν απροσδιόριστα για απροσδιόριστη διάρκεια.
Πηγή πληροφοριών: bleepingcomputer.com
