Под маской Красного Креста: группа AtlasCross и ее благотворительные кибератаки

Под маской Красного Креста: группа AtlasCross и ее благотворительные кибератаки

Как простой Word-документ может оказаться трояном. Или даже двумя.

image

Специалисты по кибербезопасности из компании NSFocus обнаружили два ранее неизвестных трояна, DangerAds и AtlasAgent, которые в своих атаках использует группа AtlasCross.

По данным исследования, хакеры из AtlasCross демонстрируют высокую степень изворотливости и не выдают своего происхождения.

NSFocus заявляет: «В результате тщательного анализа атаки мы пришли к выводу, что методы и инструменты этой APT-группы отличаются от привычных нам схем. Это касается потока выполнения, используемых технологий и инструментов, деталей реализации, целей атаки, поведенческих особенностей и других ключевых моментов».

APT-группы атакуют жертву на протяжении долгого времени, организованно, методично и с использованием продвинутых методов. Их цель — долгий и незаметный доступ к системам, а не моментальная выгода.

Часто выясняется, что «APT-хакерам» оказывают поддержку государственные структуры или крупные коммерческие организации, но такие выводы требуют дополнительных доказательств и исследований.

Все начинается с фишингового письма, якобы от Американского Красного Креста, с предложением поучаствовать в одной из благотворительных акций. К сообщению прилагается документ Word с макросами. Жертве нужно активировать опцию «Enable Content», чтобы увидеть содержимое.

После одного клика на Windows-устройстве запускаются вредоносные макросы. Они распаковывают ZIP-архив, из которого выгружается файл KB4495667.pkg, представляющий собой программу DangerAds. Затем в планировщике задач создается задание «Microsoft Office Updates» — оно активирует DangerAds регулярно на протяжении трёх дней.

DangerAds анализирует среду и, при обнаружении определенных строк, выполняет встроенный код. Завершающим этапом является загрузка x64.dll, трояна AtlasAgent.

AtlasAgent написан на C++ и выполняет ряд функций: сбор информации о системе, блокировка запуска различных программ, выполнение кода на зараженном компьютере и загрузка файлов с серверов злоумышленника.

При первом запуске троян отправляет своим операторам данные о системе. В ответ он может получить с сервера ряд команд. В целом AtlasAgent выполняет такие задачи, как:

  • Сбор информации о системе
  • Обратная связь (Reverse Shell)
  • Скачивание данных с сервера управления (CnC) и их сохранение
  • Приостановка работы на определенное время
  • Мониторинг активных процессов
  • Запуск или внедрение кода в отдельные системные процессы
  • и другие.

Отчет NSFocus стал первым, подробно описывающим деятельность AtlasCross. Тем не менее, мотивы группировки по-прежнему остаются загадкой.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь