Phishing-Angriffe mit Rot-Kreuz-Ködern
In letzter Zeit wurde ein neuer Bedrohungsakteur namens AtlasCross dabei beobachtet, wie er Phishing-Taktiken unter Verwendung von Ködern im Stil des Roten Kreuzes einsetzt. Das Ziel dieser betrügerischen Aktivitäten ist die Installation von zwei bisher nicht dokumentierten Backdoors mit den Namen DangerAds und AtlasAgent.
NSFOCUS Security Labs beschrieb den Angreifer als „technisch sehr versiert und vorsichtig“ und fügte hinzu, dass „die diesmal aufgezeichnete Phishing-Angriffsaktivität Teil des gezielten Angriffs auf bestimmte Ziele ist und sein primäres Mittel darstellt, um in Domänen einzudringen“. Die Angriffsketten beginnen mit einem Microsoft-Dokument, das mit einem Makro versehenen ist, welches vorgibt, über eine Blutspendeaktion des Amerikanischen Roten Kreuzes zu informieren. Wenn es geöffnet wird, startet das Makro und sendet System-Metadaten zu einem Remote-Server (data.vectorse[.]com) zu exfiltrieren. Dabei handelt es sich um eine Sub-Domäne einer legitimen Website, die zu einem in den USA ansässigen Bau- und Ingenieurbüro gehört.
Außerdem wird eine Datei namens KB4495667.pkg (Codename DangerAds) extrahiert, die anschließend als Loader fungiert, um Shellcode zu starten, der zur Einrichtung von AtlasAgent führt. Diese C++-Malware ist in der Lage, Systeminformationen zu sammeln sowie Shellcode und Befehle auszuführen. So kommt sie zu einer Reverse Shell und injiziert Code in einen Thread im dort spezifizierten Prozess.
Sowohl AtlasAgent als auch DangerAds enthalten Umgehungsfunktionen, die es unwahrscheinlicher machen, dass sie von Sicherheitstools entdeckt werden.
Es wird vermutet, dass AtlasCross in öffentliche Netzwerkhosts eingedrungen ist, indem es bekannte Sicherheitslücken ausgenutzt und sie in Command-and-Control-Server (C2) verwandelt hat. NSFOCUS hat nach eigenen Angaben 12 verschiedene kompromittierte Server in den USA identifiziert. Die wahre Identität von AtlasCross und seinen Hintermännern bleibt derzeit ein Rätsel.
„Zum jetzigen Zeitpunkt hat AtlasCross einen relativ begrenzten Aktionsradius und konzentriert sich in erster Linie auf gezielte Angriffe gegen bestimmte Hosts innerhalb einer Netzwerkdomäne“, so das Unternehmen NSFOCUS Security Labs. „Die von den Akteuren eingesetzten Angriffsprozesse sind jedoch äußerst robust und ausgereift.“