Μια νέα ομάδα hacking APT με την ονομασία «AtlasCross» στοχεύει οργανισμούς με θέλγητρα
phishing
που υποδύονται τον Αμερικανικό Ερυθρό Σταυρό για την παράδοση κακόβουλου λογισμικού κερκόπορτας.
Η εταιρεία κυβερνοασφάλειας NSFocus εντόπισε δύο προηγουμένως άτυπους trojan, τους DangerAds και AtlasAgent, που σχετίζονται με επιθέσεις από τη νέα ομάδα APT.
Το NSFocus αναφέρει ότι οι χάκερ του AtlasCross είναι εξελιγμένοι και υπεκφυγές, εμποδίζοντας τους ερευνητές να προσδιορίσουν την προέλευσή τους.
“Μετά από μια εις βάθος μελέτη της διαδικασίας επίθεσης, το NSFOCUS Security Labs διαπίστωσε ότι αυτός ο εισβολέας APT είναι αρκετά διαφορετικός από τα γνωστά χαρακτηριστικά του εισβολέα όσον αφορά τη ροή εκτέλεσης, τη στοίβα
τεχνολογία
ς επίθεσης, τα εργαλεία επίθεσης, τις λεπτομέρειες υλοποίησης, τους στόχους επίθεσης, την τάση συμπεριφοράς και άλλα. κύριοι δείκτες απόδοσης»,
εξηγεί το NSFocus
.
“Το τεχνικό επίπεδο και η προσεκτική στάση που έδειξε αυτός ο επιτιθέμενος κατά τη διάρκεια αυτής της δραστηριότητας είναι επίσης άξια προσοχής.”
Αλυσίδα επίθεσης AtlasCross
Οι επιθέσεις AtlassCross ξεκινούν με ένα μήνυμα ηλεκτρονικού “ψαρέματος” που προσποιείται ότι είναι από τον Αμερικανικό Ερυθρό Σταυρό, ζητώντας από τον παραλήπτη να συμμετάσχει σε ένα “Σεπτέμβριος 2023 Blood Drive”.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ένα συνημμένο εγγράφου Word (.docm) με δυνατότητα μακροεντολής που παροτρύνει το θύμα να κάνει κλικ στο “Ενεργοποίηση περιεχομένου” για να προβάλει το κρυφό περιεχόμενο.
Ωστόσο, κάτι τέτοιο θα ενεργοποιήσει κακόβουλες μακροεντολές που μολύνουν τη συσκευή
Windows
με το κακόβουλο λογισμικό DangerAds και AtlasAgent.
Έγγραφο δόλωμα που χρησιμοποιήθηκε στην επίθεση
(NSFocus)
Οι μακροεντολές εξάγουν πρώτα ένα αρχείο ZIP στη συσκευή Windows για να αποθέσουν ένα αρχείο με το όνομα KB4495667.pkg, το οποίο είναι το πρόγραμμα προφίλ συστήματος DangerAds και το πρόγραμμα φόρτωσης κακόβουλου λογισμικού. Δημιουργείται μια προγραμματισμένη εργασία με το όνομα “
Microsoft Office
Updates” για την εκκίνηση του DangerAds καθημερινά για τρεις ημέρες.
Το DangerAds λειτουργεί ως φόρτωση, αξιολογώντας το περιβάλλον του κεντρικού υπολογιστή και εκτελώντας τον ενσωματωμένο κώδικα κελύφους, εάν βρεθούν συγκεκριμένες συμβολο
σειρές
στο όνομα χρήστη ή το όνομα τομέα του συστήματος, ένα παράδειγμα του στενού εύρους στόχευσης του AtlasCross.
Τελικά, το DangerAds φορτώνει το x64.dll, το οποίο είναι το trojan AtlasAgent, το τελικό ωφέλιμο φορτίο που παραδίδεται στην επίθεση.
Διάγραμμα αλυσίδας μόλυνσης AtlasCross
(NSFocus)
Λεπτομέρειες AtlasAgent
Το AtlasAgent είναι ένας προσαρμοσμένος trojan C++ και οι βασικές του λειτουργίες περιλαμβάνουν την εξαγωγή λεπτομερειών κεντρικού υπολογιστή και διεργασίας, την αποτροπή εκκίνησης πολλαπλών προγραμμάτων, την εκτέλεση πρόσθετου κώδικα κελύφους στο μηχάνημα που έχει παραβιαστεί και τη λήψη αρχείων από τους διακομιστές C2 του εισβολέα.
Κατά την πρώτη εκκίνηση, το κακόβουλο λογισμικό στέλνει πληροφορίες στους διακομιστές του εισβολέα, συμπεριλαμβανομένων του ονόματος τοπικού υπολογιστή, των πληροφοριών προσαρμογέα δικτύου, της τοπικής διεύθυνσης IP, των πληροφοριών της κάρτας δικτύου, της αρχιτεκτονικής και της έκδοσης του συστήματος λειτουργικού συστήματος και μιας λίστας διαδικασιών που εκτελούνται.
Στη συνέχεια, οι διακομιστές του εισβολέα θα ανταποκριθούν με εντολές για εκτέλεση του AtlasAgent, κάτι που μπορεί να γίνει χρησιμοποιώντας νέα νήματα ή μέσα σε μία από τις υπάρχουσες διεργασίες, καθιστώντας δυσκολότερο τον εντοπισμό και τη διακοπή των εργαλείων ασφαλείας.
Επιπλέον, το AtlasAgent υποστηρίζει τις ακόλουθες εντολές:
- Λάβετε πληροφορίες συστήματος υπολογιστή
- Αντίστροφο κέλυφος
- Λάβετε δεδομένα από το CnC και αποθηκεύστε τα στο καθορισμένο αρχείο
- Πεδίο εντοπισμού σφαλμάτων
- Παύση του προγράμματος για ένα χρονικό διάστημα χρησιμοποιώντας τη λειτουργία Sleep
- Λάβετε πληροφορίες διαδικασίας
- Εισαγάγετε τον shellcode σε ένα νέο νήμα της καθορισμένης διαδικασίας
- Η συνάρτηση παραμέτρου πρέπει να υλοποιηθεί.
- Εκτέλεση του shellcode απευθείας. ή δημιουργήστε ένα νήμα για την εκτέλεση του shellcode σε αυτή τη διαδικασία
- Βγείτε από την κυκλοφορία
- Εισαγάγετε κώδικα κελύφους ή εντολή σε ένα νήμα στην καθορισμένη διαδικασία
- Δημιουργήστε ένα mutex
- Κύκλος εξόδου
Ενώ η αναφορά του NSFocus είναι η πρώτη που περιγράφει λεπτομερώς τη νέα ομάδα hacking, το AtlasCross παραμένει μια εν πολλοίς άγνωστη απειλή που λειτουργεί με ασαφή κίνητρα και σκοτεινό εύρος στόχευσης.
Η επιλεκτική στόχευση του παράγοντα απειλών, τα ειδικά κατασκευασμένα trojan και οι φορτωτές κακόβουλου λογισμικού, σε συνδυασμό με την προτίμηση για διακριτικές μεθόδους μόλυνσης έναντι της αποτελεσματικότητας, τους επέτρεψαν να λειτουργούν απροσδιόριστα για απροσδιόριστη διάρκεια.