AtlasCross라는 새로운 APT 해커 그룹이 미국 적십자를 사칭해 피싱 메일로 백도어 악성코드를 배포하는 캠페인이 발견됐다.
보안업체 NSFOCUS에 의하면 AtlasCross 측은 헌혈 캠페인에 참여할 것을 요청하는 피싱 메시지를 사용자에게 보낸다. 해당 메시지에는 워드 문서 첨부 파일이 포함돼 있으며 첨부 파일을 설치하면 악성 매크로가 실행된다. 매크로는 Windows 장치에서 ZIP 아카이브를 추출해 DangerAds 시스템 프로파일러 및 맬웨어 로더를 실행한다. 이후 Microsoft Office Updates 라는 스케쥴러를 생성하고 3일동안 DangerAds를 실행해 호스트 환경을 확인한다. 만약 시스템의 사용자 이름이나 도메인 이름에 특정 문자열이 있는 경우 내장된 쉘코드를 실행해 최종 페이로드인 AtlasAgent 악성코드를 로드한다.
최종적으로 AtlasAgent는 로컬 IP 주소, 실행중인 프로세스 목록 등의 사용자 정보를 공격자의 CnC 서버로 전송한다.
사진 출처 : NSFOCUS
출처
[1] NSFOCUS (2023.09.25) – Warning: Newly Discovered APT Attacker AtlasCross Exploits Red Cross Blood Drive Phishing for Cyberattack
'최신 보안 동향' 카테고리의 다른 글
Zimbra 제로데이 취약점을 이용한 국제 정부 기관 공격 (0) | 2023.11.21 |
---|---|
KeePass 사이트를 사칭하는 Google Ads 캠페인 발견 (0) | 2023.10.20 |
빠른 속도로 전파 중인 P2PInfect 악성코드 (0) | 2023.09.22 |
YouTube 앱을 사칭해 감시하는 CapraRAT 악성코드 (0) | 2023.09.21 |
스마트폰의 비밀번호를 훔치는 WiKI-Eve 공격 (0) | 2023.09.15 |