Un nouvel acteur menaçant connu sous le nom de AtlasCroix a été observé en train d’exploiter des leurres de phishing sur le thème de la Croix-Rouge pour proposer deux portes dérobées jusqu’alors non documentées nommées DangerAds et AtlasAgent.
Laboratoires de sécurité NSFOCUS décrit l’adversaire comme ayant « un niveau technique élevé et une attitude d’attaque prudente », ajoutant que « l’activité d’attaque de phishing capturée cette fois fait partie de l’attaque ciblée de l’attaquant sur des cibles spécifiques et constitue son principal moyen de pénétrer dans le domaine ».
Les chaînes d’attaque commencent par un document Microsoft contenant des macros qui prétend concerner une campagne de don de sang de la Croix-Rouge américaine qui, une fois lancée, exécute la macro malveillante pour configurer la persistance, exfiltrer les métadonnées du système vers un serveur distant (data.vectorse[.]com), il s’agit d’un sous-domaine d’un site Web légitime appartenant à une société de structures et d’ingénierie basée aux États-Unis.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Il extrait également un fichier nommé KB4495667.pkg (nom de code DangerAds), qui agit ensuite comme un chargeur pour lancer le shellcode menant au déploiement d’AtlasAgent, un malware C++ capable de collecter des informations système, d’exécuter un shellcode et d’exécuter des commandes pour obtenir un fichier. inverser le shell et injecter du code dans un thread dans le processus spécifié.
AtlasAgent et DangerAds intègrent des fonctionnalités évasives pour le rendre moins susceptible d’être découvert par les outils de sécurité.
AtlasCross est soupçonné d’avoir violé des hôtes de réseaux publics en exploitant des vulnérabilités de sécurité connues et en les transformant en serveurs de commande et de contrôle (C2). NSFOCUS a déclaré avoir identifié 12 serveurs compromis différents aux États-Unis.
La véritable identité d’AtlasCross et de ses bailleurs de fonds reste actuellement une énigme.
« Au stade actuel, AtlasCross a un champ d’activité relativement limité, se concentrant principalement sur des attaques ciblées contre des hôtes spécifiques au sein d’un domaine réseau », a déclaré la société. « Cependant, les processus d’attaque qu’ils emploient sont très robustes et matures. »