Търсене
Close this search box.

Наблюдава се, че нова  заплаха, известна като AtlasCross, използва фишинг примамки на тема „Червен кръст“, за да достави две недокументирани досега задни врати, наречени DangerAds и AtlasAgent.

Лабораториите за сигурност NSFOCUS описват противника като притежаващ „високо техническо ниво и предпазлива нагласа за атака“, като добавят, че „заснетата този път дейност по фишинг атака е част от целенасочения удар на нападателя по конкретни цели и е основното му средство за постигане на проникване в домейна“.

Веригите на атаката започват с документ на Microsoft с макроси, който претендира, че е за кампания за даряване на кръв от Американския червен кръст, който, когато се стартира, изпълнява зловреден макрос, за да установи устойчивост, да ексфилтрира системни метаданни към отдалечен сървър (data.vectorse[.]com), който е поддомейн на легитимен уебсайт, принадлежащ на строителна и инженерна фирма, базирана в САЩ.

Той също така извлича файл с име KB4495667.pkg (с кодово име DangerAds), който впоследствие действа като зареждащо устройство за стартиране на шелкод, водещ до разгръщане на AtlasAgent – зловреден софтуер на C++, способен да събира системна информация, да работи с шелкод и да изпълнява команди за получаване на обратен шел, както и да инжектира код в нишка в определен процес.

Както AtlasAgent, така и DangerAds включват уклончиви функции, за да се намали вероятността да бъдат открити от инструментите за сигурност.

AtlasCross е заподозрян, че е пробил хостове в публични мрежи, като е използвал известни уязвимости в сигурността и ги е превърнал в сървъри за командване и управление (C2). NSFOCUS заяви, че е идентифицирал 12 различни компрометирани сървъра в САЩ.

Истинската самоличност на AtlasCross и неговите спонсори понастоящем остава загадка.

„На настоящия етап AtlasCross има сравнително ограничен обхват на дейност, като се фокусира предимно върху целенасочени атаки срещу конкретни хостове в рамките на мрежовия домейн“, заяви компанията. „Въпреки това процесите на атака, които използват, са изключително стабилни и зрели.“

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
Бъдете социални
Още по темата
27/11/2024

Фишинг кампании атакуват ен...

Кибератаките са насочени към потребителите на...
26/11/2024

Коя стратегия за ъпдейтване...

Тъй като атаките стават все по-непредсказуеми...
26/11/2024

Марката BlackBasta Ransomwa...

Рускоезичната сцена с рансъмуер не е...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!