新型高级持续威胁APT组织“AtlasCross”

主要要点

一个之前未被知晓的高级持续威胁APT组织利用美国红十字会献血活动的网络钓鱼手段进行攻击。该组织使用了两个新型特洛伊木马恶意工具，展现出高水平的技术能力与谨慎的攻击策略。研究人员指出，该组织的攻击流程与已知攻击者的特征存在显著差异，其攻击过程强大成熟。

NSFOCUS安全实验室的研究人员发现了这一假献血活动，并认为背后的威胁组织“极有可能将此攻击流程扩大到更大规模的网络攻击行动中。”他们给这个新组织取名为AtlasCross，该组织展现出了高水平的技术能力以及“强大的过程和工具开发能力”和“谨慎的攻击态度”。

研究人员的观察

研究人员表示，AtlasCross的攻击方式在执行流程、攻击技术堆栈、攻击工具、实施细节、攻击目标、行为倾向以及其他主要属性指标方面，与已知攻击者特征存在明显的不同。

尽管NSFOCUS无法确定AtlasCross的起源，但他们将该组织的攻击流程描述为高度健壮且成熟的。他们指出：“一方面，这个攻击者能够主动吸收各种黑客技术，并将其整合到自身的技术堆栈和工具开发过程中；另一方面，它在环境检测、执行策略、网络设施选择等方面选择了最保守的路线，从而减少暴露风险，但以效率为代价。”

红十字会被当作诱饵

AtlasCross的网络钓鱼活动所使用的诱饵文档是一个名为“Blood Drive September 2023docm”的微软Word宏启用文件。若目标打开诱饵文件，则会看到一个McAfee的标志和一条消息，表示该文件受McAfee DLP保护。受害者被鼓励点击“启用内容”，以响应Word对宏启用文件的标准安全警告。

如果受害者同意启用宏文件，隐藏内容将被打开，显示出一张标题为“成为献血者”的红十字宣传页。与此同时，文档中的恶意宏代码会在受害者的系统中投放一个以PKG文件形式存在的恶意程序。

白鲸加速器永久免费

这并不是首次有威胁行为者以红十字会的声誉进行恶意用途。2005年卡特里娜飓风之后，迈阿密的一名男子因承认出售包含用于开发假美国红十字会救助网站的软件的网络钓鱼工具而被监禁。

该组织也是威胁组织的一个吸引目标，尤其是因为它持有大量的个人身份信息。

AtlasCross 部署新型恶意软件

AtlasCross投放的 PKG 文件是一个加载特洛伊木马，NSFOCUS称其为DangerAds，能够执行构建的Shellcode来加载最终的攻击载荷，另一个新型特洛伊木马被称为AtlasAgent。研究人员指出：“AtlasAgent特洛伊木马的主要功能是获取主机信息、进程信息、防止开启多个程序、注入特定Shellcode和从CampC命令与控制服务器下载文件。”

研究人员还指出，AtlasCross的攻击技术和工具非常高标准，他们观察到的自身开发的特洛伊木马中的残余调试代码，表明该APT团队仍在努力改进其攻击过程。他们表示：“这些特征反映了这个攻击者的高水平威胁性质，在这次攻击之后可能会继续组织针对关键目标的其他网络攻击活动。”