Un nuevo actor de amenazas conocido como AtlasCruz Se ha observado que aprovecha señuelos de phishing con temática de la Cruz Roja para ofrecer dos puertas traseras previamente no documentadas llamadas DangerAds y AtlasAgent.
Laboratorios de seguridad NSFOCUS descrito el adversario tiene un «alto nivel técnico y una actitud de ataque cautelosa», y agregó que «la actividad de ataque de phishing capturada esta vez es parte del ataque dirigido del atacante a objetivos específicos y es su principal medio para lograr la penetración en el dominio».
Las cadenas de ataque comienzan con un documento de Microsoft con macros que pretende tratar sobre una campaña de donación de sangre de la Cruz Roja Estadounidense que, cuando se lanza, ejecuta la macro maliciosa para configurar la persistencia y exfiltrar metadatos del sistema a un servidor remoto (data.vectorse).[.]com) que es un subdominio de un sitio web legítimo que pertenece a una empresa de ingeniería y estructuras con sede en EE. UU.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
También extrae un archivo llamado KB4495667.pkg (con nombre en código DangerAds), que posteriormente actúa como un cargador para iniciar el código shell que conduce a la implementación de AtlasAgent, un malware C++ capaz de recopilar información del sistema, operación del código shell y ejecutar comandos para obtener un invertir el shell e inyectar código en un hilo en el proceso especificado.
Tanto AtlasAgent como DangerAds incorporan funciones evasivas para que sea menos probable que las herramientas de seguridad lo descubran.
Se sospecha que AtlasCross ha violado hosts de redes públicas al explotar vulnerabilidades de seguridad conocidas y convertirlas en servidores de comando y control (C2). NSFOCUS dijo que identificó 12 servidores comprometidos diferentes en los EE. UU.
La verdadera identidad de AtlasCross y sus patrocinadores sigue siendo actualmente un enigma.
«En esta etapa actual, AtlasCross tiene un alcance de actividad relativamente limitado, centrándose principalmente en ataques dirigidos contra hosts específicos dentro de un dominio de red», dijo la compañía. «Sin embargo, los procesos de ataque que emplean son muy sólidos y maduros».