黑莓发现初始访问代理链接到3个不同的黑客团体

http://hackernews.cc/wp-content/uploads/2021/11/c20c9977caac054e12cb9975df1836a-600x313.jpg

一个未知初始访问代理被揭露为三个不同的攻击者提供入口点，攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。

黑莓的研究和情报团队将这个实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件集团，以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。

据我们所知，网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制，他们为其他网络犯罪集团提供服务，包括勒索软件附属公司，通过持续进入受害者网络的后门，在不同地区和行业的众多潜在组织中立足，成功地建立了远程访问的定价模型。

黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络，然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来，中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件，这取决于他们活动的目标。”

http://hackernews.cc/wp-content/uploads/2021/11/cd9f17b86061ba8ea60d0f24a1ddbec-600x180.jpg

2021年8月，一份超过1000访问列表的分析文件在暗网地下上论坛上售卖，该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。

这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名，发现时它正在传送Cobalt Strike 信标，用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来，这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。

最重要的是，“supercombination[.com]”，trashborting[.]另一个姐妹域名，被发现与恶意软件MountLocker和病毒Phobos有关，即使域名解析为IP地址“91.92.109[.]174”，在去年4月至11月，它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。

http://hackernews.cc/wp-content/uploads/2021/11/19aaff0af99bf8e63b25acbaa943081-600x296.jpg

IAB的反复出现和广泛的攻击目标让研究人员觉得，运营商“要么有大量的人力，要么在互联网上设置了大量“陷阱”，使MountLocker、Phobos和StrongPity能够访问目标网络。

研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明，网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同，这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话，可以肯定的是，这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”

消息来源：TheHackerNews，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接