Novos hackers do AtlasCross usam a Cruz Vermelha Americana como isca de phishing
27 de Setembro de 2023

Um novo grupo de hackers APT chamado 'AtlasCross' mira organizações com iscas de phishing se passando pela Cruz Vermelha Americana para entregar malware do tipo backdoor.

A empresa de cibersegurança NSFocus identificou dois trojans anteriormente não documentados, DangerAds e AtlasAgent, associados a ataques pelo novo grupo APT.

A NSFocus relata que os hackers do AtlasCross são sofisticados e evasivos, impedindo que os pesquisadores determinem sua origem.

"Após um estudo aprofundado do processo de ataque, o NSFOCUS Security Labs descobriu que esse atacante APT é bastante diferente das características conhecidas de atacantes em termos de fluxo de execução, pilha de tecnologia de ataque, ferramentas de ataque, detalhes de implementação, objetivos de ataque, tendência de comportamento e outros principais indicadores de atribuição", explica a NSFocus.

"O nível técnico e a atitude cautelosa demonstrada por esse atacante durante essa atividade também são dignos de atenção".

Os ataques AtlassCross começam com uma mensagem de phishing fingindo ser da Cruz Vermelha Americana, solicitando ao destinatário que participe de uma "Campanha de doação de sangue - setembro de 2023".

Esses e-mails contêm um anexo de documento Word habilitado para macro (.docm) que instiga a vítima a clicar em "Habilitar conteúdo" para visualizar o conteúdo oculto.

No entanto, ao fazer isso, serão acionadas macros maliciosas que infectam o dispositivo Windows com o malware DangerAds e AtlasAgent.

As macros primeiro extraem um arquivo ZIP no dispositivo Windows para soltar um arquivo chamado KB4495667.pkg, que é o carregador de malware e o analisador de sistema DangerAds. Uma tarefa agendada chamada "Atualizações do Microsoft Office" é criada para lançar o DangerAds diariamente por três dias.

O DangerAds funciona como um carregador, avaliando o ambiente do host e executando o shellcode embutido se strings específicas forem encontradas no nome de usuário ou nome de domínio do sistema, um exemplo do estreito escopo de direcionamento do AtlasCross.

Eventualmente, o DangerAds carrega o x64.dll, que é o trojan AtlasAgent, a carga útil final entregue no ataque.

AtlasAgent é um trojan customizado em C++ e suas funções principais incluem extrair detalhes do host e processo, prevenir o lançamento de vários programas, executar shellcode adicional na máquina comprometida e baixar arquivos dos servidores C2 do atacante.

Ao ser lançado pela primeira vez, o malware envia informações para os servidores do atacante, incluindo nome do computador local, informações do adaptador de rede, endereço IP local, informações do cartão de rede, arquitetura e versão do sistema operacional, e uma lista de processos em execução.

Os servidores do atacante então respondem com comandos para o AtlasAgent executar, podendo ser feito usando novas threads ou dentro de um dos processos existentes, tornando mais difícil para as ferramentas de segurança detectar e parar.

Além disso, o AtlasAgent suporta os seguintes comandos:

Obter informações do sistema do computador
Shell reverso
Obter dados do CnC e armazená-los no arquivo especificado
Campo de depuração
Pausar o programa por um período de tempo usando a função Sleep
Obter informações do processo
Injetar shellcode em uma nova thread do processo especificado
Função de parâmetro a ser implementada
Executar shellcode diretamente; ou criar uma thread para executar shellcode neste processo
Sair de circulação
Injetar shellcode ou comando em uma thread no processo especificado
Criar um mutex
Sair do ciclo

Embora o relatório da NSFocus seja o primeiro a detalhar o novo grupo de hackers, o AtlasCross permanece como uma ameaça amplamente desconhecida que opera com motivações obscuras e um escopo de direcionamento obscuro.

A seleção seletiva de alvos do ator da ameaça, trojans customizados e carregadores de malware, combinados com uma preferência por métodos de infecção discretos em vez de eficientes, permitiram que eles operassem sem ser detectados por um período de tempo indeterminado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...