Atlas Intelligence Group (AIG) ，又名Atlantis Cyber-Army，自2022年5月开始活跃，并快速发展，从起步阶段的数据泄露型黑客组织，发展到如今成为集多种攻击服务于一体的强大商业型APT组织。

Atlas Intelligence Group与常规的商业型APT组织存在一些商业模式方面的区别，常规的APT组织通常专注于提供一种或者两种服务，但Atlas Intelligence Group则快速有效的发展并扩大其服务类型，可以提供多种服务，包括：分布式拒绝服务、数据泄露服务、远程桌面协议 (RDP) 劫持和其他网络渗透服务等。

（1）DDoS服务

DDoS最常见的商业型网络攻击服务之一。从该组织的早期开始，因为能够提供可靠的执行结果证明，并且每位受害者只收取20欧元，这使得DDOS服务成为了Atlas Intelligence Group最受欢迎的服务之一。

（2）数据泄露服务

Atlas Intelligence Group 提供的另一项相当受欢迎的服务是数据泄露。该组织发布泄露的数据库，售价从15欧元起步，泄露的数据来自世界各地，分布在教育、金融、政府实体、制造和科技等不同行业领域。在该组织发布的几个广告中，居然声称与欧洲多个执法机构的人员有联系，并且可以提供某些个人敏感信息。

（3）出售初始访问权限

该组织还会以工具方式出售一些目标的初始访问权限，销售起价大多为1000美元。

（1）沟通渠道——Telegram 

该组织运营着三个不同的Telegram频道，并且拥有数千名订阅者。

https://telemetr.io/en/channels/1573611436-atlasdatabase/posts

https://telemetr.io/en/channels/1559847574-atlantisaig/posts

(2)销售平台——在线商店

Atlas Intelligence Group的负责人在Sellix.io平台上开设有电子商店。Sellix.io承诺为任何人提供电子商务平台服务，因此作为服务的一部分，Sellix.io作为中间人为Atlas Intelligence Group提供了加密货币支付服务。Atlas Intelligence Group的电子商店页面如下图所示。

（3）组织架构

该组织拥有非常清晰的运营管理层次结构，其中只有一个领导发布合同，其余的小组负责管理任务、发布广告以及Telegram频道的运营。Mr.Eagle是Atlas Intelligence Group的主要负责人，其表现得非常成熟和职业化，决策理性从而避免了失误的发生。到目前为止，Cyberint的研究人员已经能够识别出至少四个管理团队成员，分别名为El Rojo、Mr.Shawji、S41T4M4 和Coffee的。管理团队负责组织管理和运营，偶尔与关注者进行交流。

该组织的另一个独特之处是通过网络招募雇佣军来从事特定工作，大多数的招募合同都与渗透测试，社会工程学以及OSINT人员有关，因此研究人员认为该组织没有固定不变的专职人员，可能在不同的攻击活动中参与成员也会不同。

（1）利用漏洞

在该组织的Telegram频道中看到的部分话题围绕漏洞利用展开，内容涉及漏洞用的工具以及多个不同恶意软件家族的源代码。成员间共享工具的目的在于招募人员能够快速适应团队正在寻找的专业技能。该组织中的GitHub共享了多个针对F5基础设施的漏洞利用工具包。

（2）利用恶意软件

该组织的在GitHub共享了来自VX-Underground（当今最流行的安全社区之一）的许多恶意软件源代码，这些恶意软件都可能被用于进行攻击。如下所示为下面是Atlas Intelligence Group共享的漏洞利用工具和恶意代码的截图。

参考链接：

https://cyberint.com/blog/research/atlas-intelligence-group/

东欧地区持续的网络钓鱼攻击——每周威胁动态第88期（07.15-07.21）

Transparent Tribe新样本披露——每周威胁动态第87期（07.08-07.14）

疑似摩诃草攻击样本——每周威胁动态第86期（07.01-07.07）