Se ha observado a un nuevo actor de amenazas conocido como AtlasCross aprovechando señuelos de phishing con temática de la Cruz Roja para ofrecer dos puertas traseras previamente no documentadas llamadas DangerAds y AtlasAgent.
NSFOCUS Security Labs describió al adversario como alguien que tiene un «alto nivel técnico y una actitud de ataque cautelosa», y agregó que «la actividad de ataque de phishing capturada esta vez es parte del ataque dirigido del atacante a objetivos específicos y es su principal medio para lograr la penetración en el dominio». «.
Las cadenas de ataques comienzan con un documento de Microsoft con macros que pretende tratar sobre una campaña de donación de sangre de la Cruz Roja Estadounidense que, cuando se inicia, ejecuta la macro maliciosa para configurar la persistencia y filtrar metadatos del sistema a un servidor remoto (data.vectorse). [.]com) que es un subdominio de un sitio web legítimo que pertenece a una empresa de ingeniería y estructuras con sede en EE. UU.
También extrae un archivo llamado KB4495667.pkg (con nombre en código DangerAds), que posteriormente actúa como un cargador para iniciar el código shell que conduce a la implementación de AtlasAgent, un malware C++ capaz de recopilar información del sistema, operación del código shell y ejecutar comandos para obtener un invertir el shell e inyectar código en un hilo en el proceso especificado.
Tanto AtlasAgent como DangerAds incorporan funciones evasivas para que sea menos probable que las herramientas de seguridad lo descubran.
Se sospecha que AtlasCross ha violado hosts de redes públicas al explotar vulnerabilidades de seguridad conocidas y convertirlas en servidores de comando y control (C2). NSFOCUS dijo que identificó 12 servidores comprometidos diferentes en los EE. UU.
La verdadera identidad de AtlasCross y sus patrocinadores sigue siendo actualmente un enigma.
«En esta etapa actual, AtlasCross tiene un alcance de actividad relativamente limitado, centrándose principalmente en ataques dirigidos contra hosts específicos dentro de un dominio de red», dijo la compañía. «Sin embargo, los procesos de ataque que emplean son muy sólidos y maduros».
Fuente y redacción: thehackernews.com
