Zebra2104初始訪問代理支持競爭對手的惡意軟件團伙和APT

據研究人員稱，三個不同的威脅組織都在使用一個共同的初始訪問代理(IAB)來發起網絡攻擊——這一發現揭露了一個由相關攻擊基礎設施組成的錯綜復雜的網絡，支持不同的(在某些情況下是互相競爭的)惡意軟件活動。

黑莓研究與情報團隊發現，被稱為MountLocker和Phobos的勒索軟件組織，以及StrongPity高級持續威脅(APT)，都與黑莓稱之為Zebra2104的IAB威脅參與者合作。

IAB通過漏洞利用、憑證填充、網絡釣魚以及其他方式破壞各種組織的網絡，然后建立持久的后門以維持訪問。接著，他們將訪問權出售給各種暗網論壇上出價最高的人。隨后，這些“客戶”將使用該訪問權限進行后續攻擊，例如間諜活動、僵尸網絡感染或勒索軟件攻擊。據黑莓稱，進入大型企業，這種訪問的價格從25美元到數千美元不等。

“這一發現為我們了解IAB的歸屬提供了一個很好的機會。”該公司在周五的一篇帖子中指出。“執行情報關聯可以幫助我們更清楚地了解這些不同的威脅團體如何建立伙伴關系并共享資源以實現其邪惡的目標。”

 交織的基礎設施服務于Cobalt Strike

當黑莓研究人員觀察到一個為Cobalt Strike信標服務的單一web域(trashborting[.]com)時，Zebra2104的第一個線索就出現了。信標能夠執行PowerShell腳本、記錄擊鍵、截取屏幕截圖、下載文件和生成其他有效負載。

trashborting.com域名已于2020年7月注冊，其電子郵件地址為ProtonMail (ivan.odencov1985[at] ProtonMail [.]com)，該地址還用于在同一天注冊另外兩個姐妹域名。其中之一是supercombinating[.]com。今年3月，該網站被Sophos列為MountLocker勒索軟件即服務組織的妥協指標(IOC)。

自2020年7月問世的MountLocker利用Cobalt Strike信標在受害者網絡中橫向傳播勒索軟件。Sophos的研究人員觀察到supercombinating[.]com被用作該組織某項活動的Cobalt Strike服務器。

黑莓研究人員隨后發現了自2012年以來一直存在的StrongPity APT的鏈接，它使用水坑攻擊(并結合使用模仿網站和重定向)來提供各種常用實用程序的木馬化版本，例如WinRAR、互聯網下載管理器和CCleaner。

黑莓研究人員解釋說：“我們注意到supercombinating[.]com也被解析為IP地址91.92.109[.]174，它本身就托管了域名mentiononecommon[.]com。”“在2020年6月，思科的Talos Intelligence報告了作為StrongPity C2服務器的mentiononecommon[.]com。該域還提供了三個與StrongPity相關的文件，其中一個是Internet下載管理器實用程序的特洛伊木馬化版本。”

但這還不是全部。通過DFIR報告的一條推文，我們看到supercombinating[.]com部署了更多勒索軟件，但它不是我們之前看到的MountLocker。這一次，Phobos勒索軟件取而代之，我們通過鏈接的Any.Run沙盒報告證實了這一點。

Phobos是一種勒索軟件變種，于2019年初首次出現。它被認為是基于Dharma勒索軟件家族。與許多其他勒索軟件運營商為大型“鯨魚”型組織提供服務不同，Phobos一直在為各行各業的中小型組織提供服務，其在2021年7月份收到的平均贖金約為54,000美元。關于作者為什么為他們的勒索軟件選擇這個名字，一個可能的見解是，Phobos是古希臘神話中的恐懼之神。很少有惡意軟件組織如此直接地表達他們似乎想要灌輸給受害者的感覺。

還值得注意的是：研究人員還能夠將trashborting[.]com鏈接到Microsoft之前記錄的惡意垃圾郵件基礎設施。它參與了Emotet和Dridex活動，以及2020 年9月針對澳大利亞政府和私營部門實體的網絡釣魚活動。

 相關威脅組或供應鏈證據？

使用通用基礎設施來支持如此多的不同活動給黑莓團隊提出了問題，首先是競爭對手的勒索軟件產品。

“MountLocker和Phobos可能有關系嗎？兩個不同的勒索軟件組織是否在同一個基礎設施上運行？”研究人員想知道。“這個新信息提出了一個難題。如果MountLocker擁有基礎設施，那么另一家勒索軟件運營商也利用它工作的可能性很小。”

以得到一些國家支持而專門從事間諜活動的StrongPity為例，其動機與投機取巧、出于經濟動機的勒索軟件團伙不一致，使訴訟程序更加令人頭疼。

“三個看似無關的威脅團體使用和共享重疊的基礎設施。針對這種情況，最合理的解釋是什么？”研究人員說。“我們得出的結論是，這不是三個小組共同完成的工作，而是第四個參與者的工作；我們稱之為Zebra2104的IAB，它提供了對受害者環境的初始訪問。”

為支持這一理論，黑莓指出，所有相關域都解析為由同一保加利亞自治系統編號(ASN)提供的IP，該編號屬于Netera有限公司。

“眾所周知，Neterra并不是一個萬無一失的托管服務提供商；更有可能的是，它是被濫用以促進這種惡意活動的，”報告稱。“所有這些IP都在同一個ASN上，這一事實幫助我們將這一理論聯系在一起，即這實際上是一個威脅組織的工作，為其出售訪問權的集團的運作奠定了基礎。”

 蓬勃發展的初始訪問市場

Zebra2104支持的網絡攻擊組織可能比參與這項初步調查的組織多得多，尤其是對基礎設施進行額外的研究發現，這是一個錯綜復雜、分布廣泛的機構。。

例如，在7月份注冊的兩個新域(ticket-one-two[.]com和booking-sales[.]com)被認為與trashborting[.]com (87.120.37[.]120)解析到了相同的IP地址。根據黑莓的說法，進一步檢查表明booking-sales[.]com提供了“一個特定的注意事項”：一個13KB的小型可移植可執行文件(PE)，被證明是一個shellcode加載器。這個加載器被證明加載了一個shellcode Cobalt Strike DNS stager，它用于通過DNS TXT記錄下載Cobalt Strike信標。

今年6月，Proofpoint報告稱，至少有10名威脅行為者在主要的暗網論壇上提供初始訪問服務，使用惡意電子郵件鏈接和附件來植入像TrickBot這樣的木馬程序來建立后門。Proofpoint發現，在2021年上半年發現的惡意軟件中，約有20%的惡意軟件以這種方式滲透到網絡中。

警告說，這種趨勢預計在新的一年里會繼續擴大。

研究人員總結道：“當我們在整個調查過程中深入研究并剝離每個重疊層時，有時似乎我們只是觸及了此類合作的皮毛。”“毫無疑問，有一群威脅組織在相互勾結……可以肯定的是，這些威脅組織好的‘商業伙伴關系’將在未來變得更加普遍。”

參考及來源：

https://threatpost.com/zebra2104-initial-access-broker-malware-apts/176075/