NSFOCUS Güvenlik Laboratuvarlarındaki siber güvenlik analistleri yakın zamanda tehdit avı sırasında bilinmeyen bir kimlik avı tabanlı saldırı sürecini ortaya çıkardı.
Bunun dışında daha ileri incelemeler sırasında iki yeni Truva atı ve nadir saldırı yöntemleri tespit ettiler.
NSFOCUS Güvenlik Laboratuarları, yeni kimlik avı sürecinin arkasında yetenekli bir APT saldırganının olduğundan şüpheleniyor ve bu saldırganı belirli hedeflere yönelik etki alanı içi sızma için birincil yöntem olarak kullanıyor.
Saldırganın AtlasCross olduğu, NSFOCUS Güvenlik Laboratuvarları tarafından tanımlanan yeni Truva atlarının ise DangerAds ve AtlasAgent olduğu belirtiliyor.
Güvenlik araştırmacıları, AtlasCross’un arkasındaki tehdit aktörlerinin, kötü amaçlı yazılım dağıtmak için silahlı Word belgelerini aktif olarak kullandığını bildirdi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Teknik Analiz
AtlasCross, ABD Kızılhaç kan bağışı dosyası gibi görünen ‘Blood Drive Eylül 2023.docm’ adlı bir yem belgesi kullandı. Açıldığında kurbanlardan kelime düzenlemeyi etkinleştirmeleri istenir.
Makroların etkinleştirilmesi, sahte belgedeki gizli ABD Kızılhaç kan bağışı içeriğini ortaya çıkarır. Saldırganın bir sonraki saldırı aşamasındaki tasarımı göz önüne alındığında, Kızıl Haç kuruluşlarına yönelik hedefli bir siber saldırı öneriliyor.
Bu saldırı üç aşamada gerçekleşir: tuzak belge, yükleyici ve Truva atı. Tuzak belgesindeki kötü amaçlı makro, yükün serbest bırakılması, zamanlama ve kurban ana bilgisayar bilgilerinin yüklenmesi dahil olmak üzere önemli görevleri yerine getiriyor. Aşağıdaki gibi dosyaları çıkarır ve kaydeder: –
- KB4495667.zip
- KB4495667.pkg
NSFOCUS Security Labs tarafından ‘DangerAds’ olarak adlandırılan ‘KB4495667.pkg’ kötü amaçlı programı, ikinci saldırı aşamasında yükleyici Truva Atı olarak görev yapıyor.
Ana bilgisayar ortamını kontrol eder ve üçüncü aşama yükünü yüklemek için yerleşik bir kabuk kodunu çalıştırır. Özellikle, yalnızca belirli kullanıcı veya alan dizeleri tespit edildiğinde etkinleşerek alan içi sızma niyetlerine işaret ediyor.
Yükleyici Truva Atı, NSFOCUS Güvenlik Laboratuarları tarafından ‘AtlasAgent’ olarak adlandırılan bir x86 veya x64 DLL programını belleğe son yük olarak yükler. AtlasAgent’ın temel işlevleri şunları içerir: –
- Ana bilgisayar verilerini toplama
- Kabuk kodunu çalıştırma
- İndiriliyor
- Yürütme
AtlasCross, savunmadan kaçınma, kaynak geliştirme, devamlılık ve daha fazlasına odaklanarak çeşitli saldırı taktikleri kullandı ve savunma konusundaki keskin farkındalığını ortaya koydu.
Aşağıda AtlasAgent Truva Atı tarafından desteklenen tüm CMD talimatlarından ve ilgili işlevlerinden bahsettik: –
- 0x0: Bilgisayar sistem bilgilerini edinin
- 0x1: Ters Kabuk
- 0x2: CnC’den veri alın ve belirtilen dosyada saklayın
- 0x3: Hata ayıklama alanı olduğu tahmin ediliyor
- 0x4: Uyku işlevini kullanarak programı bir süre duraklatın
- 0x5: Süreç bilgilerini alın
- 0x6: Kabuk kodunu belirtilen işlemin yeni bir iş parçacığına enjekte edin
- 0x7: Bu parametre fonksiyonu uygulanacaktır.
- 0x8: Bu süreçte kabuk kodunu doğrudan çalıştırın veya kabuk kodunu çalıştırmak için bir iş parçacığı oluşturun
- 0x9: İşlev yok, dolaşımdan çıkıyor
- 0xB: Belirtilen işlemdeki bir iş parçacığına kabuk kodu veya komut enjekte eder
- 0xC: Bir muteks oluştur
- 0x63: Çıkış döngüsü
AtlasCross, aşağıdakileri birleştirerek ve değiştirerek mükemmel süreç ve araç geliştirme yetenekleri gösterir: –
- Çoklu hacker teknolojileri
- Güvenliği verimliliğin üzerinde önceliklendirmek
- Stratejilerini düzenli olarak geliştirmek
Bu özellikler, muhtemelen yaklaşmakta olan izinsiz girişler için ana hedefleri belirleyen, devam eden yüksek seviyeli tehditlerin altını çiziyor.
IOC’ler
IOC’ler (Kaynak – NSFocus)
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.