据研究人员介绍,三个不同的威胁组织都在使用共同的初始访问代理(IAB)发起网络攻击——这一发现揭示了一个复杂的网络,由相关攻击基础设施组成,支持不同的恶意软件活动(在某些情况下相互竞争)。
黑莓研究莓研究和情报团队的发现MountLocker和Phobos勒索软件组织,以及StrongPity高级持续威胁(APT),都叫黑莓Zebra2104的IAB威胁参与者合作。
IAB通过漏洞利用、凭证填充、网络钓鱼等方式破坏各种组织的网络,然后建立一个持久的后门来维持访问。然后,他们将访问权出售给在各种暗网络论坛上出价最高的人。然后,这些“客户”访问权限将用于后续攻击,如间谍活动、僵尸网络感染或勒索软件攻击。据黑莓报道,进入大型企业的价格从25美元到数千美元不等。
“这一发现为我们所知IAB归属提供了很好的机会。”该公司在周五的一篇帖子中指出。“实施情报关联可以帮助我们更清楚地了解这些不同的威胁群体如何建立伙伴关系,共享资源,以实现他们的邪恶目标。”
交织基础设施服务Cobalt Strike
当黑莓研究人员观察到一个时Cobalt Strike单一的信标服务web域(trashborting[.]com)时,Zebra2104第一个线索出现了。信标可以执行PowerShell脚本、记录键、截取屏幕截图、下载文件等有效负载。
trashborting.com域名已于2020年7月注册,其电子邮件地址为ProtonMail (ivan.odencov1985[at] ProtonMail [.]com),该地址还用于在同一天注册另外两个姐妹域名。其中一个是supercombinating[.]com。今年3月,该网站被抓获Sophos列为MountLocker勒索软件是服务组织的妥协指标(IOC)。
自2020年7月问世以来,已于2020年7月问世MountLocker利用Cobalt Strike勒索软件在受害者网络中横向传播信标。Sophos研究人员观察到supercombinating[.]com被用作组织某项活动的活动Cobalt Strike服务器。
黑莓研究人员随后发现,自2012年以来一直存在StrongPity APT链接,它使用水坑攻击(结合模仿网站和重定向)来提供各种常见的实用程序的木马化版本,如WinRAR、互联网下载管理器和CCleaner。
黑莓研究人员解释说:“我们注意到supercombinating[.]com也被解析为IP地址91.92.109[.]174,它自己托管域名mentiononecommon[.]com。”“2020年6月,思科Talos Intelligence报告了作为StrongPity C2服务器的mentiononecommon[.]com。该域还提供了三个和StrongPity其中一个相关文件是Internet特洛伊木马化版下载管理器实用程序。”
但不是全部。DFIR我们看到了报告的推文。supercombinating[.]com部署了更多的勒索软件,但这不是我们以前看到的MountLocker。这一次,Phobos我们通过链接取代勒索软件Any.Run沙盒报告证实了这一点。
Phobos2019年初首次出现勒索软件变种。它被认为是基于Dharma勒索软件家族。与许多其他勒索软件运营商为大型“鲸鱼”型组织提供不同的服务,Phobos它一直在为各行各业的中小组织提供服务,2021年7月收到的平均赎金约为5.4万美元。作者可能会对为什么他们的勒索软件选择这个名字有一个看法,Phobos是古希腊神话中的恐惧之神。很少有恶意软件组织如此直接地表达他们似乎想灌输给受害者的感觉。
值得注意的是,研究人员也可以trashborting[.]com链接到Microsoft以前记录的恶意垃圾邮件基础设施。它参与了Emotet和Dridex以及2020年9月澳大利亚政府和私营部门实体的网络钓鱼活动。
相关威胁组或供应链证据
使用通用基础设施来支持如此多的不同活动给黑莓团队提出了问题,首先是竞争对手的勒索软件产品。
“MountLocker和Phobos可能有关系吗?两个不同的勒索软件组织是否在同一基础设施上运行?”研究人员想知道。“新信息提出了一个难题。MountLocker有了基础设施,另一家勒索软件运营商也不太可能使用它。”
在一些国家的支持下,专门从事间谍活动StrongPity例如,其动机与投机取巧、出于经济动机的勒索软件团伙不一致,使诉讼程序更加头疼。
“三个看似无关的威胁群体使用和共享重叠的基础设施。最合理的解释是什么?”研究人员说。“我们得出的结论是,这不是三组共同完成的工作,而是第四个参与者的工作;我们称之为Zebra2104的IAB,它提供了对受害者环境的初始访问。”
为了支持这一理论,黑莓指出,所有相关领域都被分析为同一保加利亚自治系统的编号(ASN)提供的IP,该编号属于Netera有限公司。
“众所周知,Neterra不是万无一失的托管服务提供商;更有可能的是,它被滥用来促进这种恶意活动,”报告称。“所有这些IP都在同一个ASN这一事实帮助我们将这一理论联系起来,即这实际上是一个威胁组织的工作,为集团出售访问权的运作奠定了基础。”
对市场蓬勃发展的初步访问
Zebra2104支持的网络攻击组织可能比参与初步调查的组织多得多,特别是对基础设施的额外研究发现,这是一个复杂而广泛的组织。
例如,在7月份注册的两个新域(ticket-one-two[.]com和booking-sales[.]com)被认为与trashborting[.]com (87.120.37[.]120)同样的分析IP地址。根据黑莓的说法,进一步检查表明booking-sales[.]com提供了“一个特定的注意事项”:一个13KB小型可移植可执行文件(PE),被证明是一个shellcode加载器。这个加载器被证明是加载的shellcode Cobalt Strike DNS stager,它用于通过DNS TXT记录下载Cobalt Strike信标。
今年6月,Proofpoint报告称,至少有10名威胁行为主要的暗网论坛上提供初始访问服务,使用恶意电子邮件链接和附件植入图像TrickBot建立后门的木马程序。Proofpoint在2021年上半年发现的恶意软件中,约有20%的恶意软件以这种方式渗透到网络中。
黑莓警告说,这一趋势预计将在新年继续扩大。
研究人员总结道:“当我们在整个调查过程中深入研究并剥离每个重叠层时,有时我们似乎只是触及了这种合作。”“毫无疑问,一群威胁组织相互勾结……可以肯定的是,这些威胁组织得很好‘商业伙伴关系’将在未来变得更加普遍。”
本文翻译自:https://threatpost.com/zebra2104-initial-access-broker-malware-apts/176075/如果转载,请注明原始地址。