I en nylig opdagelse har cybersikkerhedseksperter hos NSFOCUS Security Labs afsløret en hidtil ukendt phishing-baseret angrebsmetode, mens de udfører trusselsjagt.

Yderligere efterforskning førte til identifikation af to nye trojanske heste og sjældne angrebsteknikker.

NSFOCUS Security Labs har mistanke om involveringen af ​​en højt kvalificeret Advanced Persistent Threat (APT)-aktør bag denne innovative phishing-proces, der bruger den som et primært middel til at infiltrere specifikke mål inden for domæner.

Gerningsmanden, kendt som AtlasCross, har introduceret to nye trojanske heste i trusselslandskabet: DangerAds og AtlasAgent, som opdaget af NSFOCUS Security Labs.

Sikkerhedsanalytikere har bekræftet, at de trusselsaktører, der er forbundet med AtlasCross, aktivt bruger våbenbaserede Word-dokumenter til at lette implementering af malware.

Sådan foregik angrebet:

AtlasCross påbegyndte overfaldet med et lokkedokument med titlen 'Blood Drive September 2023.docm', der udgav sig som en amerikansk Røde Kors-bloddonationsfil. Ved åbning bliver ofrene bedt om at aktivere ordredigering. Aktivering af makroer afslører skjult indhold, der vedrører det amerikanske Røde Kors bloddonationsinitiativ i lokkedokumentet. Hackernes omhyggelige design indikerer et målrettet cyberangreb på Røde Kors-tilknyttede selskaber i den efterfølgende angrebsfase.

Angrebet forløber i tre faser: lokkedokument, loader og trojansk hest. Den ondsindede makro i lokkedokumentet udfører kritiske funktioner, herunder frigivelse af nyttelast, planlægning og upload af offerværtsinformation. Det udpakker og gemmer filer som:

- KB4495667.zip

- KB4495667.pkg

I den anden angrebsfase fungerer det ondsindede program 'KB4495667.pkg,' kaldet 'DangerAds' af NSFOCUS Security Labs, som loader-trojaneren. Den vurderer værtsmiljøet og udfører en forudbygget shellkode for at indlæse nyttelasten i tredje trin. Navnlig sker aktivering udelukkende ved detektering af specifikke bruger- eller domænestrenge, hvilket indikerer intentioner om intra-domænepenetrering.

Loader-trojaneren injicerer et x86- eller x64-DLL-program i hukommelsen som den ultimative nyttelast, betegnet 'AtlasAgent' af NSFOCUS Security Labs. AtlasAgents kernefunktioner omfatter:

- Indsamling af værtsdata

- Udfører shellcode

- Downloader

- Udførelse af handlinger

AtlasCross har brugt en bred vifte af angrebsstrategier, der understreger forsvarunddragelse, ressourceudvikling, vedholdenhed og mere, hvilket illustrerer deres akutte bevidsthed om defensive foranstaltninger.

Nedenfor er CMD-instruktionerne, der understøttes af AtlasAgent Trojan, sammen med deres respektive funktioner:

Instruktioner og funktioner

AtlasCross viser enestående færdigheder inden for proces- og værktøjsudvikling, opnået ved at integrere og tilpasse:

- Forskellige hacking-teknologier

- Prioritering af sikkerhed frem for effektivitet

- Konsekvent raffinering af deres strategier

Disse karakteristika fremhæver deres vedvarende trussel på højt niveau, hvilket potentielt signalerer betydelige mål for kommende indtrængen.

Indikatorer på ”compromise” (IOC'ere: