向3个不同黑客组织提供初始访问权限的神秘经纪机构是谁？

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

黑莓公司 (Blackberry) 的研究和情报团队发现了一个此前未知的初始访问权限经纪机构。该经纪机构向三个不同类型的威胁组织（金融勒索、钓鱼攻击等）提供初始访问权限。

这个神秘的经纪组织被命名为 “Zebra2104”，负责向勒索团伙如 MountLocker 和 Phobos 以及APT组织 StrongPity（即 Promethium）等提供数字化解决方案。

我们了解的威胁局势已经越来越多地由“初始访问经纪组织 (IABs)” 所控制，这类组织拥有位于多个地理位置和行业的无限潜在组织机构池，会向其它网络犯罪团伙如勒索组织等提供受害者网络的持久性后门，从而构建远程访问的定价模式。

研究人员指出，“IABs 一般首先会获得对受害者网络的入口点，之后将该访问权限出售给暗网地下论坛商的出价高者。之后，中标者通常会在受害者组织机构中部署勒索软件和/或其它受经济利益驱动的恶意软件，具体要取决于他们的攻击目标。“

2021年8月，一份针对IABs在地下论坛商广告出售的1000多个访问清单的分析报告指出，在2020年7月至2021年6月期间，网络访问权限的平均成本是5400美元，价格最高的服务是企业系统的域管理员权限。

黑莓公司从名为 “trashborting[.]com”的域名调查开始。该域名发送 Cobalt Strike Beacons，将更广泛的基础设施和导致勒索软件payload的大量恶意垃圾邮件活动关联在一起，其中某些payload 在2020年9月攻击了澳大利亚房地产公司和国家政府部门。

研究人员发现和上述域名存在关联的另外一个姐妹域名 “supercombinating[.]com” 和恶意活动 MountLocker 和 Phobos 有关，甚至该域名解析到的IP地址 “91.92.109[.]194” 在2020年4月和11月之间用于托管第三个域名 “mentiononecommon[.]com”，并在2020年6月的与 StrongPity 相关的攻击活动中用作命令和服务控制器。

该经济机构的重合以及广泛目标使研究人员认为操纵者“或者具有很多人力资源或者已经在互联网商构建了一些大型的隐藏陷阱“，使得 MountLocker、Phobos和 StrongPity 能够访问目标网络。

研究人员指出，“研究中发现的恶意基础设施交织关系显示，它们的运作方式和合法的商业世界相仿，在某些情况下网络犯罪组织的运行方式和跨国组织机构之间并无二致。他们建立合作伙伴关系和盟友以协助推进目标。可以说这些威胁组织之间的‘业务合作伙伴关系’在未来将变得更加普遍。”

推荐阅读

2年后，NSA黑客组织“影子经纪人”提到的神秘 APT 组织框架终被扒

俄罗斯国家黑客组织 Gamaredon的成员身份和录音曝光（附视频）

2020年，这个神秘黑客组织利用了11个0day

请君入瓮：火眼自称遭某 APT 国家黑客组织攻击

原文链接

https://thehackernews.com/2021/11/blackberry-uncover-initial-access.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~