Analistas de segurança cibernética do NSFOCUS Security Labs descobriram recentemente um processo desconhecido de ataque baseado em phishing durante a caça a ameaças.
Além disso, durante a investigação mais aprofundada, eles identificaram dois novos Trojans e métodos de ataque raros.
O NSFOCUS Security Labs suspeita que um invasor qualificado de APT esteja por trás do novo processo de phishing, usando-o como método principal para penetração no domínio contra alvos específicos.
AtlasCross é o invasor, enquanto DangerAds e AtlasAgent são os novos Trojans identificados pelo NSFOCUS Security Labs.
Pesquisadores de segurança relataram que os agentes de ameaças por trás do AtlasCross estão usando ativamente documentos do Word transformados em armas para implantar malware.
Documento
Análise técnica
AtlasCross usou um documento de isca, ‘Blood Drive September 2023.docm’, fazendo-se passar por um arquivo de doação de sangue da Cruz Vermelha dos EUA. Ao abrir, ele solicita que as vítimas habilitem a edição de palavras.
A ativação de macros revela conteúdo oculto de doação de sangue da Cruz Vermelha dos EUA no documento falso. Considerando o projeto do invasor no próximo estágio de ataque, sugere um ataque cibernético direcionado aos afiliados da Cruz Vermelha.
Este ataque se desdobra em três fases: documento chamariz, carregador e cavalo de Tróia. A macro maliciosa no documento chamariz realiza tarefas importantes, incluindo liberação de carga útil, agendamento e upload de informações do host da vítima. Ele extrai e salva arquivos como: –
- KB4495667.zip
- KB4495667.pkg
O programa malicioso ‘KB4495667.pkg’, apelidado de ‘DangerAds’ pelo NSFOCUS Security Labs, serve como Trojan carregador na segunda fase do ataque.
Ele verifica o ambiente host e executa um shellcode integrado para carregar a carga útil do terceiro estágio. Notavelmente, ele é ativado apenas se strings específicas de usuário ou domínio forem detectadas, sugerindo intenções de penetração intradomínio.
O Trojan carregador carrega um programa DLL x86 ou x64 na memória como a carga final, nomeado ‘AtlasAgent’ do NSFOCUS Security Labs. As principais funções do AtlasAgent incluem: –
- Coletando dados do host
- Executando shellcode
- Baixando
- Executando
AtlasCross empregou diversas táticas de ataque, com foco na evasão de defesa, desenvolvimento de recursos, persistência e muito mais, demonstrando sua forte consciência de defesa.
A seguir, mencionamos todas as instruções CMD suportadas pelo Trojan AtlasAgent, junto com suas respectivas funções: –
- 0x0: Obtenha informações do sistema do computador
- 0x1: Casca reversa
- 0x2: Obtenha dados do CnC e armazene-os no arquivo especificado
- 0x3: Supõe-se que seja o campo para depuração
- 0x4: Pause o programa por um período de tempo usando a função Sleep
- 0x5: Obtenha informações do processo
- 0x6: Injeta shellcode em um novo thread do processo especificado
- 0x7: Esta função de parâmetro deve ser implementada.
- 0x8: Execute o shellcode diretamente ou crie um thread para executar o shellcode neste processo
- 0x9: Sem função, sai de circulação
- 0xB: Injeta shellcode ou comando em um thread no processo especificado
- 0xC: Crie um mutex
- 0x63: Ciclo de saída
AtlasCross demonstra excelentes habilidades de desenvolvimento de processos e ferramentas ao incorporar e modificar: –
- Múltiplas tecnologias hackers
- Priorizando a segurança acima da eficiência
- Melhorando suas estratégias regularmente
Estas características sublinham a sua ameaça contínua de alto nível, possivelmente identificando alvos importantes para futuras intrusões.
COIs
IOCs (Fonte – NSFocus)
Proteja-se contra vulnerabilidades usando o Patch Manager Plus para corrigir rapidamente mais de 850 aplicativos de terceiros. Aproveite o livre julgamento para garantir 100% de segurança.
