新APT攻击者AtlasCross 以红十字会为诱饵的网络攻击活动
💡
原文中文,约8900字,阅读约需21分钟。
📝
内容提要
绿盟科技集团股份有限公司的研究目标和版权声明。
🎯
关键要点
- 绿盟科技伏影实验室发现了一种新型攻击流程,涉及钓鱼文档和新型木马程序。
- 该攻击者被命名为AtlasCross,展现出较高的技术水平和谨慎的攻击态度。
- AtlasCross使用的诱饵文档以美国红十字会献血信息为主题,诱导受害者启用宏功能。
- 攻击流程分为诱饵文档阶段、加载器阶段和木马阶段,整体流程复杂且隐蔽。
- 恶意宏代码执行后释放载荷并设置计划任务,进行后续攻击。
- 加载器木马DangerAds负责检测宿主机环境并执行内置的shellcode。
- 最终载荷AtlasAgent用于获取主机信息、执行shellcode和下载文件等功能。
- AtlasCross攻击者在攻击过程中使用了多种防御规避策略,显示出明显的对抗意识。
- 该攻击者通过控制大量公网主机作为统计服务器和CnC服务器,降低自身暴露风险。
- AtlasCross的攻击流程和工具开发能力反映出其高级威胁性质,可能继续进行针对重点目标的网络攻击。
- 伏影实验室将持续跟踪AtlasCross的后续攻击活动。
➡️
