Yeni bir tehdit aktörü olarak biliniyor AtlasÇapraz DangerAds ve AtlasAgent adlı daha önce belgelenmemiş iki arka kapıyı sunmak için Kızıl Haç temalı kimlik avı tuzaklarından yararlanıldığı gözlemlendi.
NSFOCUS Güvenlik Laboratuarları, düşmanı “yüksek teknik seviyeye ve temkinli saldırı tutumuna” sahip olarak tanımlayarak, “bu sefer yakalanan kimlik avı saldırısı faaliyetinin, saldırganın belirli hedeflere yönelik hedefli saldırısının bir parçası olduğunu ve alan içi sızma elde etmenin ana yolu olduğunu” ekledi. “
Saldırı zincirleri, Amerikan Kızıl Haç’ından gelen bir kan bağışı kampanyasıyla ilgili olduğu iddia edilen, başlatıldığında kalıcılığı ayarlamak ve sistem meta verilerini uzak bir sunucuya sızdırmak için kötü amaçlı makroyu çalıştıran makro bağlantılı bir Microsoft belgesiyle başlıyor (data.vectorse)[.]com), ABD merkezli bir yapı ve mühendislik firmasına ait meşru bir web sitesinin alt alan adıdır.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Ayrıca, KB4495667.pkg (kod adı DangerAds) adlı bir dosyayı da çıkarır; bu dosya daha sonra kabuk kodunu başlatmak için bir yükleyici görevi görür ve bu dosya, sistem bilgilerini toplayabilen, kabuk kodu işlemini gerçekleştirebilen ve komutları çalıştırabilen bir C++ kötü amaçlı yazılımı olan AtlasAgent’ın dağıtımına yol açar. Kabuğu ters çevirebilir ve belirtilen işlemde bir iş parçacığına kod enjekte edebilirsiniz.
Hem AtlasAgent hem de DangerAds, güvenlik araçları tarafından keşfedilme olasılığını azaltmak için kaçınma özellikleri içerir.
AtlasCross’un, bilinen güvenlik açıklarından yararlanarak ve bunları komuta ve kontrol (C2) sunucularına dönüştürerek genel ağ ana bilgisayarlarını ihlal ettiğinden şüpheleniliyor. NSFOCUS, ABD’de güvenliği ihlal edilmiş 12 farklı sunucu tespit ettiğini söyledi
AtlasCross’un ve destekçilerinin gerçek kimliği şu anda bir bilmece olmayı sürdürüyor.
Şirket, “Mevcut aşamada AtlasCross’un nispeten sınırlı bir faaliyet kapsamı var ve öncelikle bir ağ alanı içindeki belirli ana bilgisayarlara yönelik hedefli saldırılara odaklanıyor” dedi. “Ancak kullandıkları saldırı süreçleri son derece sağlam ve olgun.”