【安全资讯】摩洛哥网络犯罪集团Atlas Lion在零售商攻击中隐藏身份

概要：

摩洛哥网络犯罪集团Atlas Lion近期被发现采用新颖的攻击手法，针对大型零售商、服装公司和餐饮业等进行网络攻击。研究人员指出，该集团通过窃取用户凭证，成功将虚拟机注册到企业的云域中，伪装成合法网络的一部分，从而实施欺诈行为。

主要内容：

Atlas Lion专注于侵入大型零售商的系统，以欺诈性地发放礼品卡代码。研究人员Expel观察到，该集团通过发送伪装成公司客服通知的短信，诱导受害者点击恶意链接，进入钓鱼网站并输入用户名、密码及多因素认证（MFA）代码。攻击者迅速利用这些信息登录受害者账户，并将自己的设备注册到公司的MFA认证应用中，以维持访问权限。

在一次攻击中，Atlas Lion成功获取了18名用户的凭证，并利用其中9个账户注册了MFA应用。随后，他们在自己的Microsoft Azure云租户中创建了一个Windows虚拟机，并将其连接到企业域。此过程使得攻击者能够绕过企业网络的安全要求，将恶意设备伪装成新系统。

然而，攻击者的行为也暴露了其疏忽之处。新注册的设备需安装符合公司合规要求的软件，Expel指出，攻击者在虚拟机上安装了Microsoft Defender，导致系统警报触发，最终被网络安全防护措施踢出网络。尽管如此，Atlas Lion在被踢出后不久又利用窃取的凭证重新登录，开始搜索企业内部应用，下载数十个文件，试图获取有关“自带设备”政策和内部VPN设置的信息，以便在下次攻击中避免被发现。