Под маской Красного Креста: группа AtlasCross и ее благотворительные кибератаки
Как простой Word-документ может оказаться трояном. Или даже двумя.
Специалисты по кибербезопасности из компании NSFocus обнаружили два ранее неизвестных трояна, DangerAds и AtlasAgent, которые в своих атаках использует группа AtlasCross.
По данным исследования, хакеры из AtlasCross демонстрируют высокую степень изворотливости и не выдают своего происхождения.
NSFocus заявляет: «В результате тщательного анализа атаки мы пришли к выводу, что методы и инструменты этой APT-группы отличаются от привычных нам схем. Это касается потока выполнения, используемых технологий и инструментов, деталей реализации, целей атаки, поведенческих особенностей и других ключевых моментов».
APT-группы атакуют жертву на протяжении долгого времени, организованно, методично и с использованием продвинутых методов. Их цель — долгий и незаметный доступ к системам, а не моментальная выгода.
Часто выясняется, что «APT-хакерам» оказывают поддержку государственные структуры или крупные коммерческие организации, но такие выводы требуют дополнительных доказательств и исследований.
Все начинается с фишингового письма, якобы от Американского Красного Креста, с предложением поучаствовать в одной из благотворительных акций. К сообщению прилагается документ Word с макросами. Жертве нужно активировать опцию «Enable Content», чтобы увидеть содержимое.
После одного клика на Windows-устройстве запускаются вредоносные макросы. Они распаковывают ZIP-архив, из которого выгружается файл KB4495667.pkg, представляющий собой программу DangerAds. Затем в планировщике задач создается задание «Microsoft Office Updates» — оно активирует DangerAds регулярно на протяжении трёх дней.
DangerAds анализирует среду и, при обнаружении определенных строк, выполняет встроенный код. Завершающим этапом является загрузка x64.dll, трояна AtlasAgent.
AtlasAgent написан на C++ и выполняет ряд функций: сбор информации о системе, блокировка запуска различных программ, выполнение кода на зараженном компьютере и загрузка файлов с серверов злоумышленника.
При первом запуске троян отправляет своим операторам данные о системе. В ответ он может получить с сервера ряд команд. В целом AtlasAgent выполняет такие задачи, как:
- Сбор информации о системе
- Обратная связь (Reverse Shell)
- Скачивание данных с сервера управления (CnC) и их сохранение
- Приостановка работы на определенное время
- Мониторинг активных процессов
- Запуск или внедрение кода в отдельные системные процессы
- и другие.
Отчет NSFocus стал первым, подробно описывающим деятельность AtlasCross. Тем не менее, мотивы группировки по-прежнему остаются загадкой.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!