Yeni bir tehdit aktörü olarak biliniyor AtlasÇapraz DangerAds ve AtlasAgent adlı daha önce belgelenmemiş iki arka kapıyı sunmak için Kızıl Haç temalı kimlik avı tuzaklarından yararlanıldığı gözlemlendi.
NSFOCUS Güvenlik Laboratuvarları tarif edildi Rakibin “yüksek teknik seviyeye ve temkinli bir saldırı tavrına” sahip olduğunu belirterek, “bu kez yakalanan kimlik avı saldırısı faaliyeti, saldırganın belirli hedeflere yönelik hedefli saldırısının bir parçası ve alan içi nüfuz elde etmenin ana yoludur” diye ekledi.
Saldırı zincirleri, Amerikan Kızıl Haç’ından gelen bir kan bağışı kampanyasıyla ilgili olduğu iddia edilen makro içerikli bir Microsoft belgesiyle başlıyor; başlatıldığında kalıcılığı ayarlamak için kötü amaçlı makroyu çalıştırıyor ve sistem meta verilerini uzaktaki bir sunucuya sızdırıyor (data.vectorse)[.]com), ABD merkezli bir yapı ve mühendislik firmasına ait meşru bir web sitesinin alt alan adıdır.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Ayrıca KB4495667.pkg (kod adı DangerAds) adlı bir dosyayı çıkarır; bu dosya daha sonra kabuk kodunu başlatmak için bir yükleyici görevi görür ve bu da sistem bilgilerini toplayabilen, kabuk kodu işlemi yapabilen ve komutları çalıştırabilen bir C++ kötü amaçlı yazılımı olan AtlasAgent’ın konuşlandırılmasına yol açar. Kabuğu ters çevirebilir ve belirtilen işlemde bir iş parçacığına kod enjekte edebilirsiniz.
Hem AtlasAgent hem de DangerAds, güvenlik araçları tarafından keşfedilme olasılığını azaltmak için kaçınma özellikleri içerir.
AtlasCross’un, bilinen güvenlik açıklarından yararlanarak ve bunları komuta ve kontrol (C2) sunucularına dönüştürerek genel ağ ana bilgisayarlarını ihlal ettiğinden şüpheleniliyor. NSFOCUS, ABD’de güvenliği ihlal edilmiş 12 farklı sunucu tespit ettiğini söyledi
AtlasCross’un ve destekçilerinin gerçek kimliği şu anda bir bilmece olmayı sürdürüyor.
Şirket, “Mevcut aşamada AtlasCross’un nispeten sınırlı bir faaliyet kapsamı var ve öncelikle bir ağ alanı içindeki belirli ana bilgisayarlara yönelik hedefli saldırılara odaklanıyor” dedi. “Ancak kullandıkları saldırı süreçleri son derece sağlam ve olgun.”