NSFocus รายงานว่ากลุ่มแฮกเกอร์ AtlasCross แตกต่างจากกลุ่มแฮกเกอร์อื่นๆ ในเรื่องขั้นตอนการโจมตี , เครื่องมือที่ใช้โจมตี , วัตถุประสงค์การโจมตี , แนวโน้มพฤติกรรม และอื่นๆ โดยพบโทรจันใหม่สองตัว DangerAds และ AtlasAgent ที่เกี่ยวข้องกับการโจมตี

การโจมตีเริ่มต้นด้วยข้อความ Phishing ที่อ้างว่ามาจากสภากาชาดอเมริกัน โดยขอให้ผู้รับเข้าร่วมในการบริจาคเลือดเดือนกันยายน 2023 โดยในอีเมลมีไฟล์แนบเอกสาร Word ที่เปิดใช้งานมาโคร (.docm) ซึ่งต้องการให้ผู้รับคลิกเปิดใช้งานเนื้อหา เพื่อดูเนื้อหาที่ซ่อนอยู่

เมื่อผู้รับกดเปิดใช้งาน มาโครจะแยกไฟล์ ZIP บนอุปกรณ์ Windows และวางไฟล์ชื่อ KB4495667.pkg ซึ่งเป็นตัวสร้างโทรจัน DangerAds และเป็นตัวโหลดมัลแวร์ โดยจะสร้าง Scheduled task ชื่อ Microsoft Office Updates เพื่อเปิดใช้ DangerAds ทุกวันเป็นเวลาสามวัน

DangerAds ทำหน้าที่เป็นตัวโหลดมัลแวร์ , ประเมินข้อมูลของระบบ และเรียกใช้ Shellcode หากพบ Strings ที่กำหนดไว้ในชื่อผู้ใช้หรือชื่อโดเมนของระบบ ซึ่งเป็นการกำหนดขอบเขตเป้าหมายที่แคบของกลุ่มแฮกเกอร์ AtlasCross

หากพบ Strings ที่กำหนดไว้ DangerAds จะโหลด x64.dll ซึ่งเป็นโทรจัน AtlasAgent เป็นโทรจันภาษา C++ แบบ Custom ฟังก์ชันหลักประกอบด้วยการแยกโฮสต์และรายละเอียด Process , ป้องกันการเปิดโปรแกรมหลายโปรแกรม , เรียกใช้ Shellcode และการดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อทำงานครั้งแรกมัลแวร์จะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี เช่น ชื่อเครื่อง , IP เครื่อง , ข้อมูล Network adapter , ข้อมูล Network card , เวอร์ชันของระบบปฏิบัติการ และ Process ที่รันอยู่ จากนั้นเซิร์ฟเวอร์ของผู้โจมตีจะตอบกลับคำสั่งให้ AtlasAgent ทำงานต่างๆ ซึ่งสามารถทำได้โดยใช้ Threads ใหม่ หรือกระบวนที่มีอยู่ ทำให้เครื่องมือรักษาความปลอดภัยตรวจจับและหยุดได้ยากขึ้น

AtlasAgent รองรับคำสั่งต่อไปนี้

รับข้อมูลระบบคอมพิวเตอร์
Reverse Shell
รับข้อมูลจาก CnC และจัดเก็บไว้ในไฟล์ที่ระบุ
Debugging field
หยุดโปรแกรมชั่วคราวเป็นระยะเวลาหนึ่งโดยใช้ฟังก์ชัน Sleep
รับข้อมูลของ Process
แทรก Shellcode หรือคำสั่งลงใน Threads ของกระบวนการที่ระบุ
ใช้งานพารามิเตอร์ฟังก์ชัน
เรียกใช้ Shellcode โดยตรง หรือสร้าง Threads เพื่อรัน Shellcode
สร้าง Mutex (Mutually exclusive)

ที่มา : bleepingcomputer