黑莓发现与3个不同黑客组织有关的初始访问代理

一家之前未经备案的初始访问代理被揭露为三个不同的威胁行为体提供了进入点，以应对从财务动机的勒索软件攻击到网络钓鱼活动等各种各样的入侵。

黑莓的研究和情报团队将该实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件辛迪加提供数字手段，以及以StrongPatient（又名Promethium）追踪的高级持续威胁（APT）。

据我们所知，威胁领域越来越多地被称为初始访问代理（IAB）的一类参与者所主导，他们提供其他网络犯罪集团，包括勒索软件附属公司，通过进入受害者网络的持久后门，立足于无限多的潜在组织，这些组织属于不同的地理位置和行业，有效地构建了远程访问的定价模型。

黑莓研究人员在上周发布的一份技术报告中指出：“IAB通常先进入受害者的网络，然后在位于黑暗网络中的地下论坛上将该访问权卖给出价最高的人。”。“后来，中标人往往会在受害者的组织内部署勒索软件和/或其他出于财务动机的恶意软件，这取决于他们的活动目标。”

2021年8月在IdBead上在黑暗网站上发布的超过1000个IABS广告的访问列表发现，2020年7月至2021年6月期间，网络访问的平均成本为5400美元，其中最有价值的优惠包括企业管理系统的域管理特权。

The Canadian cybersecurity company's investigation began with a domain named "trashborting[.]com" that was found delivering Cobalt Strike Beacons, using it to link the broader infrastructure to a number of malspam campaigns that resulted in the delivery of ransomware payloads, some of which targeted Australian real estate companies and state government departments in September 2020.

除此之外，“超级组合[.]com，“另一个与垃圾桶一起注册的姐妹域名[.]com，被发现与恶意MountLocker和Phobos活动有关，即使域解析为IP地址“91.92.109[。]174，“反过来，它也被用来托管第三个域”提到OneCommon[。]在2020年4月至11月期间，作为命令和控制服务器在2020年6月与StrongMite相关的活动中投入使用。

IAB的重叠和广泛的目标定位也让研究人员相信，运营商“要么拥有大量人力，要么他们在互联网上设置了一些大型的‘隐藏在普通视线中’陷阱”，从而使MountLocker、Phobos和Strong怜悯能够找到他们访问目标网络的渠道。

研究人员说：“这项研究中看到的恶意基础设施的互联网络表明，在某种程度上反映了合法的商业世界，网络犯罪集团在某些情况下的运作与跨国组织没有什么不同。”。“他们建立伙伴关系和联盟来帮助推进他们的目标。如果说有什么区别的话，可以肯定的是，这些威胁团体的‘商业伙伴关系’在未来将变得更加普遍。”