三个不同的威胁参与者都在使用一个共同的InitialAccessAgent(IAB)发起网络攻击,根据研究人员的说法——这一发现揭示了一个错综复杂的相关攻击基础设施网络,支持不同的网络攻击(在某些情况下是竞争性的)恶意软件活动。BlackBerryResearchandIntelligence团队发现名为MountLocker和Phobos的勒索软件组织以及StrongPity高级持续威胁(APT)正在与BlackBerry称为Zebra2104的IAB威胁参与者合作。IAB通过漏洞利用、凭据填充、网络钓鱼和其他手段破坏各种组织的网络,然后建立持久的后门以保持访问。然后,他们将访问权限出售给各种暗网论坛上的最高出价者。然后,这些“客户”将使用该访问权限进行后续攻击,例如间谍活动、僵尸网络感染或勒索软件攻击。据BlackBerry称,访问大型企业的费用从25美元到数千美元不等。“这一发现为我们提供了一个了解IAB归属的好机会,”该公司在周五的一篇帖子中表示。“执行情报关联可以帮助我们更清楚地了解这些不同的威胁团体如何形成伙伴关系并共享资源以实现他们的邪恶目标。”InterwovenInfrastructureServicesCobaltStrike当BlackBerry研究人员观察到CobaltStrike消息时Zebra2104的第一条线索出现在该服务针对单个Web域(trashborting[.]com)时。信标能够执行PowerShell脚本、记录击键、截取屏幕截图、下载文件和生成其他有效负载。trashborting.com域名于2020年7月注册,电子邮件地址为ProtonMail(ivan.odencov1985[at]ProtonMail[.]com),该域名还于同一天注册了另外两个姊妹域名。其中之一是supercombinating[.]com。3月,该网站被Sophos列为MountLocker勒索软件即服务组织的妥协指标(IOC)。自2020年7月以来一直存在的MountLocker利用CobaltStrike信标在受害者网络中横向传播勒索软件。Sophos研究人员观察到supercombinating[.]com被用作该组织其中一项活动的CobaltStrike服务器。BlackBerry研究人员随后发现了StrongPityAPT的链接,该组织自2012年以来一直存在,使用水坑攻击(结合模拟站点和重定向)来提供各种常用实用程序的木马化版本,例如WinRAR、Internet下载管理器和CCleaner。“我们注意到supercombinating[.]com也解析为IP地址91.92.109[.]174,它本身托管域mentiononecommon[.]com,”黑莓研究人员解释说。“2020年6月,CiscoTalosIntelligence将mentiononecommon[.]com报告为StrongPityC2服务器。该域还提供三个与StrongPity相关的文件,其中一个是InternetDownloadManager实用程序的木马化版本。”但这还不是全部。我们通过DFIR报告的推文看到supercombinating[.]com部署了更多勒索软件,但这不是我们之前看到的MountLocker。这一次,Phobos勒索软件取而代之,我们通过链接的Any.Run沙箱报告确认了这一点。Phobos是2019年初首次出现的勒索软件变种。据信它基于Dharma勒索软件家族。与许多其他服务于大型“鲸鱼”型组织的勒索软件运营商不同,Phobos一直在为各行各业的中小型组织提供服务,2021年7月平均收到约54,000美元的赎金。关于作者原因的一种可能见解为他们的勒索软件取这个名字是因为火卫一是古希腊神话中的恐惧之神。很少有恶意软件组织如此直接地表达他们似乎灌输给受害者的感受。同样值得注意的是:研究人员还能够将trashborting[.]com链接到微软之前记录的恶意垃圾邮件基础设施。它参与了Emotet和Dridex活动,以及2020年9月针对澳大利亚政府和私营部门实体的网络钓鱼活动。相关威胁组或供应链证据?使用通用基础设施来支持这么多不同的活动给黑莓团队带来了问题,首先是竞争对手的勒索软件产品。“MountLocker和Phobos有关联吗?两个不同的勒索软件组是否在同一基础设施上运行?”研究人员想知道。“这一新信息提出了一个难题。如果MountLocker拥有基础设施,那么其他勒索软件运营商也不太可能使用它来工作。”就得到一些州支持并专门从事间谍活动的StrongPity而言,其动机与投机取巧、出于经济动机的勒索软件团伙的不一致使得诉讼程序更加令人头疼。“三个看似无关的威胁组织使用并共享重叠的基础设施。对这种情况最合理的解释是什么?”研究人员说。“我们得出的结论是,这不是三个小组一起工作的结果,而是第四个参与者;我们称之为Zebra2104的IAB,它提供了对受害者环境的初始访问权限。”为了支持这一理论,BlackBerry表示,所有相关域都解析为属于NeteraLtd.的同一保加利亚自治系统编号(ASN)提供的IP。为这种恶意活动提供便利,”报告称。“所有这些IP都在同一个ASN上这一事实帮助我们将理论联系在一起,即这实际上是一个威胁组织的工作,为它出售访问权的组织的运作奠定了基础。”Boom由Zebra2104开发的初始接入市场可能支持比参与此初始调查的网络攻击团体更多的网络攻击团体,特别是对基础设施的进一步研究表明它是一个复杂且分布广泛的组织。.例如,7月注册的两个新域(ticket-one-two[.]com和booking-sales[.]com)被认为解析为相同的IP地址。根据BlackBerry的说法,进一步检查显示booking-sales[.]com提供了“一个特定的注释”:一个13KB的小型可移植可执行(PE)文件,结果证明是一个shellcode加载程序。该加载程序显示加载了一个shellcodeCobaltStrikeDNSstager,该stager用于通过DNSTXT记录下载CobaltStrike信标。6月,Proofpoint报告称,至少有10个威胁行为者在主要的暗网论坛上提供初始访问服务,使用恶意电子邮件链接和附件来植入TrickBot等木马以建立后门。Proofpoint发现,在2021年上半年检测到的恶意软件中,约有20%以这种方式渗透到网络中。黑莓警告说,这种趋势有望在新的一年扩大。研究人员总结道:“在整个调查过程中,当我们深入研究并剥离每一个重叠层时,有时我们似乎只是触及了这种合作的表面。”“毫无疑问,有一群威胁集团相互勾结......可以肯定的是,未来与这些威胁建立良好的'商业伙伴关系'将变得更加普遍。”/如果转载,请注明原文地址。
