Zebra2104初始访问代理支持竞争对手的恶意软件团伙和APT

据研究人员称，三个不同的威胁组织都在使用一个共同的初始访问代理(IAB)来发起网络攻击——这一发现揭露了一个由相关攻击基础设施组成的错综复杂的网络，支持不同的(在某些情况下是互相竞争的)恶意软件活动。

黑莓研究与情报团队发现，被称为MountLocker和Phobos的勒索软件组织，以及StrongPity高级持续威胁(APT)，都与黑莓称之为Zebra2104的IAB威胁参与者合作。

IAB通过漏洞利用、凭证填充、网络钓鱼以及其他方式破坏各种组织的网络，然后建立持久的后门以维持访问。接着，他们将访问权出售给各种暗网论坛上出价最高的人。随后，这些“客户”将使用该访问权限进行后续攻击，例如间谍活动、僵尸网络感染或勒索软件攻击。据黑莓称，进入大型企业，这种访问的价格从25美元到数千美元不等。

“这一发现为我们了解IAB的归属提供了一个很好的机会。”该公司在周五的一篇帖子中指出。“执行情报关联可以帮助我们更清楚地了解这些不同的威胁团体如何建立伙伴关系并共享资源以实现其邪恶的目标。”

 交织的基础设施服务于Cobalt Strike

当黑莓研究人员观察到一个为Cobalt Strike信标服务的单一web域(trashborting[.]com)时，Zebra2104的第一个线索就出现了。信标能够执行PowerShell脚本、记录击键、截取屏幕截图、下载文件和生成其他有效负载。

trashborting.com域名已于2020年7月注册，其电子邮件地址为ProtonMail (ivan.odencov1985[at] ProtonMail [.]com)，该地址还用于在同一天注册另外两个姐妹域名。其中之一是supercombinating[.]com。今年3月，该网站被Sophos列为MountLocker勒索软件即服务组织的妥协指标(IOC)。

自2020年7月问世的MountLocker利用Cobalt Strike信标在受害者网络中横向传播勒索软件。Sophos的研究人员观察到supercombinating[.]com被用作该组织某项活动的Cobalt Strike服务器。

黑莓研究人员随后发现了自2012年以来一直存在的StrongPity APT的链接，它使用水坑攻击(并结合使用模仿网站和重定向)来提供各种常用实用程序的木马化版本，例如WinRAR、互联网下载管理器和CCleaner。

黑莓研究人员解释说：“我们注意到supercombinating[.]com也被解析为IP地址91.92.109[.]174，它本身就托管了域名mentiononecommon[.]com。”“在2020年6月，思科的Talos Intelligence报告了作为StrongPity C2服务器的mentiononecommon[.]com。该域还提供了三个与StrongPity相关的文件，其中一个是Internet下载管理器实用程序的特洛伊木马化版本。”

但这还不是全部。通过DFIR报告的一条推文，我们看到supercombinating[.]com部署了更多勒索软件，但它不是我们之前看到的MountLocker。这一次，Phobos勒索软件取而代之，我们通过链接的Any.Run沙盒报告证实了这一点。

Phobos是一种勒索软件变种，于2019年初首次出现。它被认为是基于Dharma勒索软件家族。与许多其他勒索软件运营商为大型“鲸鱼”型组织提供服务不同，Phobos一直在为各行各业的中小型组织提供服务，其在2021年7月份收到的平均赎金约为54,000美元。关于作者为什么为他们的勒索软件选择这个名字，一个可能的见解是，Phobos是古希腊神话中的恐惧之神。很少有恶意软件组织如此直接地表达他们似乎想要灌输给受害者的感觉。

还值得注意的是：研究人员还能够将trashborting[.]com链接到Microsoft之前记录的恶意垃圾邮件基础设施。它参与了Emotet和Dridex活动，以及2020 年9月针对澳大利亚政府和私营部门实体的网络钓鱼活动。

 相关威胁组或供应链证据？

使用通用基础设施来支持如此多的不同活动给黑莓团队提出了问题，首先是竞争对手的勒索软件产品。

“MountLocker和Phobos可能有关系吗？两个不同的勒索软件组织是否在同一个基础设施上运行？”研究人员想知道。“这个新信息提出了一个难题。如果MountLocker拥有基础设施，那么另一家勒索软件运营商也利用它工作的可能性很小。”

以得到一些国家支持而专门从事间谍活动的StrongPity为例，其动机与投机取巧、出于经济动机的勒索软件团伙不一致，使诉讼程序更加令人头疼。

“三个看似无关的威胁团体使用和共享重叠的基础设施。针对这种情况，最合理的解释是什么？”研究人员说。“我们得出的结论是，这不是三个小组共同完成的工作，而是第四个参与者的工作；我们称之为Zebra2104的IAB，它提供了对受害者环境的初始访问。”

为支持这一理论，黑莓指出，所有相关域都解析为由同一保加利亚自治系统编号(ASN)提供的IP，该编号属于Netera有限公司。

“众所周知，Neterra并不是一个万无一失的托管服务提供商；更有可能的是，它是被滥用以促进这种恶意活动的，”报告称。“所有这些IP都在同一个ASN上，这一事实帮助我们将这一理论联系在一起，即这实际上是一个威胁组织的工作，为其出售访问权的集团的运作奠定了基础。”

 蓬勃发展的初始访问市场

Zebra2104支持的网络攻击组织可能比参与这项初步调查的组织多得多，尤其是对基础设施进行额外的研究发现，这是一个错综复杂、分布广泛的机构。。

例如，在7月份注册的两个新域(ticket-one-two[.]com和booking-sales[.]com)被认为与trashborting[.]com (87.120.37[.]120)解析到了相同的IP地址。根据黑莓的说法，进一步检查表明booking-sales[.]com提供了“一个特定的注意事项”：一个13KB的小型可移植可执行文件(PE)，被证明是一个shellcode加载器。这个加载器被证明加载了一个shellcode Cobalt Strike DNS stager，它用于通过DNS TXT记录下载Cobalt Strike信标。

今年6月，Proofpoint报告称，至少有10名威胁行为者在主要的暗网论坛上提供初始访问服务，使用恶意电子邮件链接和附件来植入像TrickBot这样的木马程序来建立后门。Proofpoint发现，在2021年上半年发现的恶意软件中，约有20%的恶意软件以这种方式渗透到网络中。

警告说，这种趋势预计在新的一年里会继续扩大。

研究人员总结道：“当我们在整个调查过程中深入研究并剥离每个重叠层时，有时似乎我们只是触及了此类合作的皮毛。”“毫无疑问，有一群威胁组织在相互勾结……可以肯定的是，这些威胁组织好的‘商业伙伴关系’将在未来变得更加普遍。”

参考及来源：

https://threatpost.com/zebra2104-initial-access-broker-malware-apts/176075/