據(jù)研究人員稱，三個不同的威脅組織都在使用一個共同的初始訪問代理（IAB）來發(fā)起網(wǎng)絡攻擊——這一發(fā)現(xiàn)揭露了一個由相關攻擊基礎設施組成的錯綜復雜的網(wǎng)絡，支持不同的（在某些情況下是互相競爭的）惡意軟件活動。

　　黑莓研究與情報團隊發(fā)現(xiàn)，被稱為MountLocker和Phobos的勒索軟件組織，以及StrongPity高級持續(xù)威脅（APT），都與黑莓稱之為Zebra2104的IAB威脅參與者合作。

　　IAB通過漏洞利用、憑證填充、網(wǎng)絡釣魚以及其他方式破壞各種組織的網(wǎng)絡，然后建立持久的后門以維持訪問。接著，他們將訪問權出售給各種暗網(wǎng)論壇上出價最高的人。隨后，這些“客戶”將使用該訪問權限進行后續(xù)攻擊，例如間諜活動、僵尸網(wǎng)絡感染或勒索軟件攻擊。據(jù)黑莓稱，進入大型企業(yè)，這種訪問的價格從25美元到數(shù)千美元不等。

　　“這一發(fā)現(xiàn)為我們了解IAB的歸屬提供了一個很好的機會。”該公司在周五的一篇帖子中指出。“執(zhí)行情報關聯(lián)可以幫助我們更清楚地了解這些不同的威脅團體如何建立伙伴關系并共享資源以實現(xiàn)其邪惡的目標。”

　　交織的基礎設施服務于Cobalt Strike

　　當黑莓研究人員觀察到一個為Cobalt Strike信標服務的單一web域（trashborting[.]com）時，Zebra2104的第一個線索就出現(xiàn)了。信標能夠執(zhí)行PowerShell腳本、記錄擊鍵、截取屏幕截圖、下載文件和生成其他有效負載。

　　trashborting.com域名已于2020年7月注冊，其電子郵件地址為ProtonMail （ivan.odencov1985[at] ProtonMail [.]com），該地址還用于在同一天注冊另外兩個姐妹域名。其中之一是supercombinating[.]com。今年3月，該網(wǎng)站被Sophos列為MountLocker勒索軟件即服務組織的妥協(xié)指標（IOC）。

　　自2020年7月問世的MountLocker利用Cobalt Strike信標在受害者網(wǎng)絡中橫向傳播勒索軟件。Sophos的研究人員觀察到supercombinating[.]com被用作該組織某項活動的Cobalt Strike服務器。

　　黑莓研究人員隨后發(fā)現(xiàn)了自2012年以來一直存在的StrongPity APT的鏈接，它使用水坑攻擊（并結合使用模仿網(wǎng)站和重定向）來提供各種常用實用程序的木馬化版本，例如WinRAR、互聯(lián)網(wǎng)下載管理器和CCleaner。

　　黑莓研究人員解釋說：“我們注意到supercombinating[.]com也被解析為IP地址91.92.109[.]174，它本身就托管了域名mentiononecommon[.]com。”“在2020年6月，思科的Talos Intelligence報告了作為StrongPity C2服務器的mentiononecommon[.]com。該域還提供了三個與StrongPity相關的文件，其中一個是Internet下載管理器實用程序的特洛伊木馬化版本。”

　　但這還不是全部。通過DFIR報告的一條推文，我們看到supercombinating[.]com部署了更多勒索軟件，但它不是我們之前看到的MountLocker。這一次，Phobos勒索軟件取而代之，我們通過鏈接的Any.Run沙盒報告證實了這一點。

　　Phobos是一種勒索軟件變種，于2019年初首次出現(xiàn)。它被認為是基于Dharma勒索軟件家族。與許多其他勒索軟件運營商為大型“鯨魚”型組織提供服務不同，Phobos一直在為各行各業(yè)的中小型組織提供服務，其在2021年7月份收到的平均贖金約為54,000美元。關于作者為什么為他們的勒索軟件選擇這個名字，一個可能的見解是，Phobos是古希臘神話中的恐懼之神。很少有惡意軟件組織如此直接地表達他們似乎想要灌輸給受害者的感覺。

　　還值得注意的是：研究人員還能夠將trashborting[.]com鏈接到Microsoft之前記錄的惡意垃圾郵件基礎設施。它參與了Emotet和Dridex活動，以及2020 年9月針對澳大利亞政府和私營部門實體的網(wǎng)絡釣魚活動。

　　相關威脅組或供應鏈證據(jù)？

　　使用通用基礎設施來支持如此多的不同活動給黑莓團隊提出了問題，首先是競爭對手的勒索軟件產(chǎn)品。

　　“MountLocker和Phobos可能有關系嗎？兩個不同的勒索軟件組織是否在同一個基礎設施上運行？”研究人員想知道。“這個新信息提出了一個難題。如果MountLocker擁有基礎設施，那么另一家勒索軟件運營商也利用它工作的可能性很小。”

　　以得到一些國家支持而專門從事間諜活動的StrongPity為例，其動機與投機取巧、出于經(jīng)濟動機的勒索軟件團伙不一致，使訴訟程序更加令人頭疼。

　　“三個看似無關的威脅團體使用和共享重疊的基礎設施。針對這種情況，最合理的解釋是什么？”研究人員說。“我們得出的結論是，這不是三個小組共同完成的工作，而是第四個參與者的工作；我們稱之為Zebra2104的IAB，它提供了對受害者環(huán)境的初始訪問。”

　　為支持這一理論，黑莓指出，所有相關域都解析為由同一保加利亞自治系統(tǒng)編號（ASN）提供的IP，該編號屬于Netera有限公司。

　　“眾所周知，Neterra并不是一個萬無一失的托管服務提供商；更有可能的是，它是被濫用以促進這種惡意活動的，”報告稱。“所有這些IP都在同一個ASN上，這一事實幫助我們將這一理論聯(lián)系在一起，即這實際上是一個威脅組織的工作，為其出售訪問權的集團的運作奠定了基礎。”

　　蓬勃發(fā)展的初始訪問市場

　　Zebra2104支持的網(wǎng)絡攻擊組織可能比參與這項初步調查的組織多得多，尤其是對基礎設施進行額外的研究發(fā)現(xiàn)，這是一個錯綜復雜、分布廣泛的機構……

　　例如，在7月份注冊的兩個新域（ticket-one-two[.]com和booking-sales[.]com）被認為與trashborting[.]com （87.120.37[.]120）解析到了相同的IP地址。根據(jù)黑莓的說法，進一步檢查表明booking-sales[.]com提供了“一個特定的注意事項”：一個13KB的小型可移植可執(zhí)行文件（PE），被證明是一個shellcode加載器。這個加載器被證明加載了一個shellcode Cobalt Strike DNS stager，它用于通過DNS TXT記錄下載Cobalt Strike信標。

　　今年6月，Proofpoint報告稱，至少有10名威脅行為者在主要的暗網(wǎng)論壇上提供初始訪問服務，使用惡意電子郵件鏈接和附件來植入像TrickBot這樣的木馬程序來建立后門。Proofpoint發(fā)現(xiàn)，在2021年上半年發(fā)現(xiàn)的惡意軟件中，約有20%的惡意軟件以這種方式滲透到網(wǎng)絡中。

　　黑莓警告說，這種趨勢預計在新的一年里會繼續(xù)擴大。

　　研究人員總結道：“當我們在整個調查過程中深入研究并剝離每個重疊層時，有時似乎我們只是觸及了此類合作的皮毛。”“毫無疑問，有一群威脅組織在相互勾結……可以肯定的是，這些威脅組織好的‘商業(yè)伙伴關系’將在未來變得更加普遍。”