The hacker news 网站披露,安全研究人员发现一个名为 AtlasCross 的网络攻击组织利用红十字会主题的网络钓鱼诱饵,传播两个名为 DangerAds 和 AtlasAgent 的新型后门程序。
NSFOCUS 安全实验室表示此次网络钓鱼攻击活动是网络攻击者对特定目标实施定向攻击的一部分,也是其实现域内渗透的主要手段,并指出发动此次活动的攻击者具有较高的技术水平和谨慎的攻击态度。
本次网络钓鱼攻击活动的攻击链始于一个带有宏的微软文档,该文档自称是关于美国红十字会的献血驱动程序,一旦受害目标点击启动后,便会运行恶意宏设置持久性,将系统元数据外泄到一个远程服务器(data.vectorse[.]com)。(该服务器是美国一家结构和工程公司合法网站的子域)
启动程序还会提取一个代号为 DangerAds 的 KB4495667.pkg ,该文件充当加载程序以启动外壳代码,部署一个C++恶意软件 AtlasAgent。据悉该恶意软件能够收集系统信息、外壳代码操作和运行命令以获得反向外壳,并将代码注入指定进程中的线程。
值得一提的是,网络攻击者在 AtlasAgent 和 DangerAds 上都加入了规避功能,最大程度上降低了被安全工具发现的可能性。
NSFOCUS 指出 AtlasCross 组织涉嫌利用已知的安全漏洞入侵公共网络主机,并将其变成命令和控制(C2)服务器,安全人员在美国发现了 12 台被入侵的服务器。
至于 AtlasCross 及其支持者的真实身份目前仍是一个谜。不过,可以判断这些网络攻击者采用的攻击流程非常强大和成熟。
最后,NSFOCUS 公司强调在现阶段 AtlasCross 的活动范围相对有限,主要集中在对网络域内的特定主机进行有针对性的攻击。
转自Freebuf,原文链接:https://www.freebuf.com/news/379537.html
封面来源于网络,如有侵权请联系删除