Serangan Phishing Palang Merah Distribusikan DangerAds dan AtlasAgent Backdoors
Cyberthreat.id - Aktor ancaman baru yang dikenal sebagai AtlasCross telah diamati memanfaatkan umpan phishing berthema Red Cross (Palang Merah) untuk mengirimkan dua backdoors yang sebelumnya tidak terdokumentasi bernama DangerAds dan AtlasAgent.
Lab Keamanan NSFOCUS menggambarkan musuh memiliki "tingkat teknis tinggi dan sikap serangan yang hati-hati," menambahkan bahwa "aktivitas serangan phishing yang ditangkap kali ini adalah bagian dari serangan yang ditargetkan penyerang pada target tertentu dan merupakan sarana utamanya untuk mencapai penetrasi dalam domain."
Rantai serangan dimulai dengan dokumen Microsoft yang berisi makro yang konon berisi tentang penggalangan donasi darah dari American Red Cross yang, ketika diluncurkan, menjalankan makro berbahaya untuk menyiapkan persistensi, mengekstrak metadata sistem ke server jarak jauh (data.vectorse [.]com) yang merupakan sub-domain dari situs web sah milik perusahaan struktural dan teknik yang berbasis di AS.
Ia juga mengekstrak file bernama KB4495667.pkg (dengan nama kode DangerAds), yang kemudian bertindak sebagai pemuat untuk meluncurkan kode shell yang mengarah pada penerapan AtlasAgent, malware C++ yang mampu mengumpulkan informasi sistem, operasi kode shell, dan menjalankan perintah untuk mendapatkan membalikkan shell serta menyuntikkan kode ke dalam thread dalam proses yang ditentukan.
AtlasAgent dan DangerAds menggabungkan fitur pengelakan agar kecil kemungkinannya ditemukan oleh alat keamanan.
AtlasCross diduga telah melanggar host jaringan publik dengan mengeksploitasi kerentanan keamanan yang diketahui dan mengubahnya menjadi server perintah-dan-kontrol (C2). NSFOCUS mengatakan pihaknya mengidentifikasi 12 server berbeda yang disusupi di AS.
Identitas sebenarnya dari AtlasCross dan pendukungnya saat ini masih menjadi teka-teki.
“Pada tahap saat ini, AtlasCross memiliki cakupan aktivitas yang relatif terbatas, terutama berfokus pada serangan yang ditargetkan terhadap host tertentu dalam domain jaringan,” kata perusahaan itu.
“Namun, proses serangan yang mereka terapkan sangat kuat dan matang.”[]