據(jù)研究人員稱(chēng)，三個(gè)不同的威脅組織都在使用一個(gè)共同的初始訪問(wèn)代理（IAB）來(lái)發(fā)起網(wǎng)絡(luò)攻擊——這一發(fā)現(xiàn)揭露了一個(gè)由相關(guān)攻擊基礎(chǔ)設(shè)施組成的錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)，支持不同的（在某些情況下是互相競(jìng)爭(zhēng)的）惡意軟件活動(dòng)。

　　黑莓研究與情報(bào)團(tuán)隊(duì)發(fā)現(xiàn)，被稱(chēng)為MountLocker和Phobos的勒索軟件組織，以及StrongPity高級(jí)持續(xù)威脅（APT），都與黑莓稱(chēng)之為Zebra2104的IAB威脅參與者合作。

　　IAB通過(guò)漏洞利用、憑證填充、網(wǎng)絡(luò)釣魚(yú)以及其他方式破壞各種組織的網(wǎng)絡(luò)，然后建立持久的后門(mén)以維持訪問(wèn)。接著，他們將訪問(wèn)權(quán)出售給各種暗網(wǎng)論壇上出價(jià)最高的人。隨后，這些“客戶”將使用該訪問(wèn)權(quán)限進(jìn)行后續(xù)攻擊，例如間諜活動(dòng)、僵尸網(wǎng)絡(luò)感染或勒索軟件攻擊。據(jù)黑莓稱(chēng)，進(jìn)入大型企業(yè)，這種訪問(wèn)的價(jià)格從25美元到數(shù)千美元不等。

　　“這一發(fā)現(xiàn)為我們了解IAB的歸屬提供了一個(gè)很好的機(jī)會(huì)?！痹摴驹谥芪宓囊黄又兄赋??！皥?zhí)行情報(bào)關(guān)聯(lián)可以幫助我們更清楚地了解這些不同的威脅團(tuán)體如何建立伙伴關(guān)系并共享資源以實(shí)現(xiàn)其邪惡的目標(biāo)?！?/p>

　　交織的基礎(chǔ)設(shè)施服務(wù)于Cobalt Strike

　　當(dāng)黑莓研究人員觀察到一個(gè)為Cobalt Strike信標(biāo)服務(wù)的單一web域（trashborting[.]com）時(shí)，Zebra2104的第一個(gè)線索就出現(xiàn)了。信標(biāo)能夠執(zhí)行PowerShell腳本、記錄擊鍵、截取屏幕截圖、下載文件和生成其他有效負(fù)載。

　　trashborting.com域名已于2020年7月注冊(cè)，其電子郵件地址為ProtonMail （ivan.odencov1985[at] ProtonMail [.]com），該地址還用于在同一天注冊(cè)另外兩個(gè)姐妹域名。其中之一是supercombinating[.]com。今年3月，該網(wǎng)站被Sophos列為MountLocker勒索軟件即服務(wù)組織的妥協(xié)指標(biāo)（IOC）。

　　自2020年7月問(wèn)世的MountLocker利用Cobalt Strike信標(biāo)在受害者網(wǎng)絡(luò)中橫向傳播勒索軟件。Sophos的研究人員觀察到supercombinating[.]com被用作該組織某項(xiàng)活動(dòng)的Cobalt Strike服務(wù)器。

　　黑莓研究人員隨后發(fā)現(xiàn)了自2012年以來(lái)一直存在的StrongPity APT的鏈接，它使用水坑攻擊（并結(jié)合使用模仿網(wǎng)站和重定向）來(lái)提供各種常用實(shí)用程序的木馬化版本，例如WinRAR、互聯(lián)網(wǎng)下載管理器和CCleaner。

　　黑莓研究人員解釋說(shuō)：“我們注意到supercombinating[.]com也被解析為IP地址91.92.109[.]174，它本身就托管了域名mentiononecommon[.]com?！薄霸?020年6月，思科的Talos Intelligence報(bào)告了作為StrongPity C2服務(wù)器的mentiononecommon[.]com。該域還提供了三個(gè)與StrongPity相關(guān)的文件，其中一個(gè)是Internet下載管理器實(shí)用程序的特洛伊木馬化版本?！?/p>

　　但這還不是全部。通過(guò)DFIR報(bào)告的一條推文，我們看到supercombinating[.]com部署了更多勒索軟件，但它不是我們之前看到的MountLocker。這一次，Phobos勒索軟件取而代之，我們通過(guò)鏈接的Any.Run沙盒報(bào)告證實(shí)了這一點(diǎn)。

　　Phobos是一種勒索軟件變種，于2019年初首次出現(xiàn)。它被認(rèn)為是基于Dharma勒索軟件家族。與許多其他勒索軟件運(yùn)營(yíng)商為大型“鯨魚(yú)”型組織提供服務(wù)不同，Phobos一直在為各行各業(yè)的中小型組織提供服務(wù)，其在2021年7月份收到的平均贖金約為54,000美元。關(guān)于作者為什么為他們的勒索軟件選擇這個(gè)名字，一個(gè)可能的見(jiàn)解是，Phobos是古希臘神話中的恐懼之神。很少有惡意軟件組織如此直接地表達(dá)他們似乎想要灌輸給受害者的感覺(jué)。

　　還值得注意的是：研究人員還能夠?qū)rashborting[.]com鏈接到Microsoft之前記錄的惡意垃圾郵件基礎(chǔ)設(shè)施。它參與了Emotet和Dridex活動(dòng)，以及2020 年9月針對(duì)澳大利亞政府和私營(yíng)部門(mén)實(shí)體的網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

　　相關(guān)威脅組或供應(yīng)鏈證據(jù)？

　　使用通用基礎(chǔ)設(shè)施來(lái)支持如此多的不同活動(dòng)給黑莓團(tuán)隊(duì)提出了問(wèn)題，首先是競(jìng)爭(zhēng)對(duì)手的勒索軟件產(chǎn)品。

　　“MountLocker和Phobos可能有關(guān)系嗎？?jī)蓚€(gè)不同的勒索軟件組織是否在同一個(gè)基礎(chǔ)設(shè)施上運(yùn)行？”研究人員想知道?！斑@個(gè)新信息提出了一個(gè)難題。如果MountLocker擁有基礎(chǔ)設(shè)施，那么另一家勒索軟件運(yùn)營(yíng)商也利用它工作的可能性很小。”

　　以得到一些國(guó)家支持而專(zhuān)門(mén)從事間諜活動(dòng)的StrongPity為例，其動(dòng)機(jī)與投機(jī)取巧、出于經(jīng)濟(jì)動(dòng)機(jī)的勒索軟件團(tuán)伙不一致，使訴訟程序更加令人頭疼。

　　“三個(gè)看似無(wú)關(guān)的威脅團(tuán)體使用和共享重疊的基礎(chǔ)設(shè)施。針對(duì)這種情況，最合理的解釋是什么？”研究人員說(shuō)?！拔覀兊贸龅慕Y(jié)論是，這不是三個(gè)小組共同完成的工作，而是第四個(gè)參與者的工作；我們稱(chēng)之為Zebra2104的IAB，它提供了對(duì)受害者環(huán)境的初始訪問(wèn)?！?/p>

　　為支持這一理論，黑莓指出，所有相關(guān)域都解析為由同一保加利亞自治系統(tǒng)編號(hào)（ASN）提供的IP，該編號(hào)屬于Netera有限公司。

　　“眾所周知，Neterra并不是一個(gè)萬(wàn)無(wú)一失的托管服務(wù)提供商；更有可能的是，它是被濫用以促進(jìn)這種惡意活動(dòng)的，”報(bào)告稱(chēng)?！八羞@些IP都在同一個(gè)ASN上，這一事實(shí)幫助我們將這一理論聯(lián)系在一起，即這實(shí)際上是一個(gè)威脅組織的工作，為其出售訪問(wèn)權(quán)的集團(tuán)的運(yùn)作奠定了基礎(chǔ)。”

　　蓬勃發(fā)展的初始訪問(wèn)市場(chǎng)

　　Zebra2104支持的網(wǎng)絡(luò)攻擊組織可能比參與這項(xiàng)初步調(diào)查的組織多得多，尤其是對(duì)基礎(chǔ)設(shè)施進(jìn)行額外的研究發(fā)現(xiàn)，這是一個(gè)錯(cuò)綜復(fù)雜、分布廣泛的機(jī)構(gòu)……

　　例如，在7月份注冊(cè)的兩個(gè)新域（ticket-one-two[.]com和booking-sales[.]com）被認(rèn)為與trashborting[.]com （87.120.37[.]120）解析到了相同的IP地址。根據(jù)黑莓的說(shuō)法，進(jìn)一步檢查表明booking-sales[.]com提供了“一個(gè)特定的注意事項(xiàng)”：一個(gè)13KB的小型可移植可執(zhí)行文件（PE），被證明是一個(gè)shellcode加載器。這個(gè)加載器被證明加載了一個(gè)shellcode Cobalt Strike DNS stager，它用于通過(guò)DNS TXT記錄下載Cobalt Strike信標(biāo)。

　　今年6月，Proofpoint報(bào)告稱(chēng)，至少有10名威脅行為者在主要的暗網(wǎng)論壇上提供初始訪問(wèn)服務(wù)，使用惡意電子郵件鏈接和附件來(lái)植入像TrickBot這樣的木馬程序來(lái)建立后門(mén)。Proofpoint發(fā)現(xiàn)，在2021年上半年發(fā)現(xiàn)的惡意軟件中，約有20%的惡意軟件以這種方式滲透到網(wǎng)絡(luò)中。

　　黑莓警告說(shuō)，這種趨勢(shì)預(yù)計(jì)在新的一年里會(huì)繼續(xù)擴(kuò)大。

　　研究人員總結(jié)道：“當(dāng)我們?cè)谡麄€(gè)調(diào)查過(guò)程中深入研究并剝離每個(gè)重疊層時(shí)，有時(shí)似乎我們只是觸及了此類(lèi)合作的皮毛?！薄昂翢o(wú)疑問(wèn)，有一群威脅組織在相互勾結(jié)……可以肯定的是，這些威脅組織好的‘商業(yè)伙伴關(guān)系’將在未來(lái)變得更加普遍?！?/p>