Наблюдава се, че нова заплаха, известна като AtlasCross, използва фишинг примамки на тема „Червен кръст“, за да достави две недокументирани досега задни врати, наречени DangerAds и AtlasAgent.
Лабораториите за сигурност NSFOCUS описват противника като притежаващ „високо техническо ниво и предпазлива нагласа за атака“, като добавят, че „заснетата този път дейност по фишинг атака е част от целенасочения удар на нападателя по конкретни цели и е основното му средство за постигане на проникване в домейна“.
Веригите на атаката започват с документ на Microsoft с макроси, който претендира, че е за кампания за даряване на кръв от Американския червен кръст, който, когато се стартира, изпълнява зловреден макрос, за да установи устойчивост, да ексфилтрира системни метаданни към отдалечен сървър (data.vectorse[.]com), който е поддомейн на легитимен уебсайт, принадлежащ на строителна и инженерна фирма, базирана в САЩ.
Той също така извлича файл с име KB4495667.pkg (с кодово име DangerAds), който впоследствие действа като зареждащо устройство за стартиране на шелкод, водещ до разгръщане на AtlasAgent – зловреден софтуер на C++, способен да събира системна информация, да работи с шелкод и да изпълнява команди за получаване на обратен шел, както и да инжектира код в нишка в определен процес.
Както AtlasAgent, така и DangerAds включват уклончиви функции, за да се намали вероятността да бъдат открити от инструментите за сигурност.
AtlasCross е заподозрян, че е пробил хостове в публични мрежи, като е използвал известни уязвимости в сигурността и ги е превърнал в сървъри за командване и управление (C2). NSFOCUS заяви, че е идентифицирал 12 различни компрометирани сървъра в САЩ.
Истинската самоличност на AtlasCross и неговите спонсори понастоящем остава загадка.
„На настоящия етап AtlasCross има сравнително ограничен обхват на дейност, като се фокусира предимно върху целенасочени атаки срещу конкретни хостове в рамките на мрежовия домейн“, заяви компанията. „Въпреки това процесите на атака, които използват, са изключително стабилни и зрели.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.