Broker Akses Awal Zebra2104 Mendukung Geng Malware Rival, APT

Tiga kelompok ancaman terpisah semuanya menggunakan broker akses awal umum (IAB) untuk mengaktifkan serangan siber mereka, menurut para peneliti – sebuah temuan yang mengungkapkan jaringan kusut infrastruktur serangan terkait yang menopang kampanye malware yang berbeda (dan dalam beberapa kasus menyaingi). Tim Riset & Intelijen telah menemukan bahwa kelompok ransomware yang dikenal sebagai MountLocker dan Phobos, serta ancaman persisten lanjutan (APT) StrongPity, semuanya bermitra dengan aktor ancaman IAB yang dijuluki BlackBerry Zebra2104.

IABs menyusupi jaringan berbagai organisasi melalui eksploitasi, isian kredensial, phishing, atau cara lain, lalu buat pintu belakang yang persisten untuk mempertahankan akses. Kemudian, mereka menjual akses tersebut ke penawar tertinggi di berbagai forum Dark Web. “Pelanggan” ini kemudian akan menggunakan akses itu untuk melakukan serangan lanjutan, seperti kampanye spionase, infeksi botnet, atau serangan ransomware. Menurut BlackBerry, harga untuk akses semacam itu berkisar dari $25 hingga ribuan dolar untuk masuk ke perusahaan besar.

“Penemuan ini memberikan peluang besar bagi kami untuk memahami atribusi IAB,” perusahaan tersebut mencatat dalam sebuah posting pada hari Jumat . “Melakukan korelasi intelijen dapat membantu kami membangun gambaran yang lebih jelas tentang bagaimana kelompok ancaman yang berbeda ini menciptakan kemitraan dan berbagi sumber daya untuk lebih meningkatkan tujuan jahat mereka.”

Infrastruktur Terjalin Melayani Cobalt Strike

Petunjuk pertama keberadaan Zebra2104 datang ketika peneliti BlackBerry mengamati satu domain web (trashborting[.]com) melayani suar Cobalt Strike. Beacon mampu mengeksekusi skrip PowerShell, mencatat penekanan tombol, mengambil tangkapan layar, mengunduh file, dan memunculkan muatan lainnya.

Domain trashborting.com telah didaftarkan pada Juli 2020 dengan alamat email ProtonMail (ivan.odencov1985[at]protonmail[.]com) , yang juga digunakan untuk mendaftarkan dua domain saudara tambahan pada tanggal yang sama. Salah satunya, supercombinating[.]com, terdaftar pada bulan Maret oleh Sophos sebagai indikator kompromi (IOC) untuk grup ransomware-as-a-service MountLocker.

MountLocker, yang telah ada sejak Juli 2020, biasanya memanfaatkan Cobalt Strike suar untuk menyebar secara lateral dan menyebarkan ransomware dalam jaringan korban. Peneliti Sophos telah mengamati supercombinating[.]com digunakan sebagai server Cobalt Strike untuk salah satu kampanye grup.

Peneliti BlackBerry kemudian mengetahui tautan ke StrongPity APT, yang telah ada sejak 2012, menggunakan serangan lubang air (dan menggunakan kombinasi situs web imitasi dan pengalihan) untuk mengirimkan versi trojan dari berbagai utilitas yang umum digunakan, seperti WinRAR, Internet Download Manager, dan CCleaner.

“Kami melihat bahwa supercombinating[.]com juga telah diselesaikan ke alamat IP 91.92.109[. ]174, yang telah menghosting domain mentiononecommon[.]com,” jelas peneliti BlackBerry. “Pada bulan Juni 2020, Talos Intelligence Cisco melaporkan mentiononecommon[.]com sebagai server StrongPity C2. Domain tersebut juga menyajikan tiga file yang terkait dengan StrongPity, salah satunya adalah [a] versi trojan dari utilitas Internet Download Manager.”

Tapi bukan itu saja – tautan ke ransomware Phobos juga muncul dengan sendirinya, dalam bentuk tweet dari Laporan DFIR yang menyebut supercombinating[.]com sebagai server dalam kampanye Phobos baru-baru ini – sebuah temuan yang dikonfirmasi oleh BlackBerry. Phobos biasanya mengincar organisasi kecil hingga menengah di berbagai industri, dengan pembayaran tebusan rata-rata yang diterima sekitar $54.000 pada bulan Juli, kata para analis. .

Juga terkait: challparty[.]com https://t.co/WVfKsQYddg

— Paul Melson (@pmelson) 2 Agustus 2020

Juga catatan: Para peneliti juga dapat menautkan trashborting[.]com ke infrastruktur spam berbahaya yang sebelumnya didokumentasikan oleh Microsoft. Telah terlibat dalam kampanye Emotet dan Dridex, serta kampanye phishing September 2020 yang menargetkan entitas Australia, baik di sektor pemerintah maupun swasta.

Kelompok Ancaman Terkait atau Bukti Rantai Pasokan?

Penggunaan infrastruktur umum untuk mendukung begitu banyak orang yang berbeda aktivitas menimbulkan pertanyaan bagi tim BlackBerry, dimulai dengan penawaran ransomware saingan.

“Apakah MountLocker dan Phobos mungkin terkait? Apakah dua kelompok ransomware berbeda beroperasi dari infrastruktur yang sama?” peneliti bertanya-tanya. “Informasi baru ini menghadirkan sedikit teka-teki. Jika MountLocker memiliki infrastruktur, maka akan ada kemungkinan kecil operator ransomware lain juga bekerja darinya.”

Dalam kasus StrongPity, yang berspesialisasi dalam spionase dan kemungkinan didukung oleh negara, motifnya tidak sejalan dengan oportunistik, geng ransomware yang termotivasi secara finansial, menambahkan lebih banyak goresan kepala ke proses.

“Dengan tiga kelompok ancaman yang tampaknya tidak terkait menggunakan dan berbagi infrastruktur yang tumpang tindih, kami bertanya pada diri sendiri pertanyaan, Apa penjelasan yang paling masuk akal untuk tautan aneh ini?” kata peneliti. “Kami menyimpulkan bahwa ini bukan pekerjaan tiga kelompok bersama-sama, tetapi dari pemain keempat; sebuah IAB yang kami beri nama Zebra2104, yang menyediakan akses awal ke lingkungan korban.”

Untuk mendukung teori ini, BlackBerry menunjukkan bahwa semua domain yang saling terkait diselesaikan ke IP yang disediakan oleh Bulgarian Autonomous System Numbers (ASN) yang sama, yang dimiliki ke Neterra Ltd.

“Neterra tidak dikenal sebagai penyedia hosting antipeluru; kemungkinan besar itu disalahgunakan untuk memfasilitasi aktivitas jahat ini,” menurut laporan itu. “Fakta bahwa semua IP ini berada di ASN yang sama membantu kami menyatukan teori bahwa ini sebenarnya adalah pekerjaan satu kelompok ancaman, yang mendukung operasi kelompok yang aksesnya dijual.”

Pasar yang Meningkat untuk Akses Awal

Kemungkinan bahwa Zebra2104 menopang lebih banyak kelompok serangan siber daripada mereka yang terlibat dalam penyelidikan awal ini, terutama mengingat bahwa menarik benang tambahan dari infrastruktur mengungkapkan aparat yang kusut dan tersebar luas.

Misalnya, dua domain baru terdaftar pada bulan Juli (tiket-satu-dua[. ]com dan booking-sales[.]com), terlihat menyelesaikan ke alamat IP yang sama dengan trashborting[.]com (87.120.37[.]120). Pemeriksaan lebih lanjut menunjukkan bahwa booking-sales[.]com telah melayani “satu item catatan tertentu,” menurut BlackBerry: Sebuah file kecil, 13KB portabel executable (PE) yang terbukti menjadi pemuat shellcode. Loader ini ternyata memuat shellcode Cobalt Strike DNS stager, yang digunakan untuk mengunduh suar Cobalt Strike melalui DNS TXT records.

Pada bulan Juni, Proofpoint melaporkan bahwa setidaknya 10 pelaku ancaman menawarkan layanan akses awal di Dark Web utama forum, menggunakan tautan dan lampiran email berbahaya untuk menanamkan trojan seperti TrickBot untuk membuat pintu belakang. Sekitar 20 persen malware yang terlihat pada paruh pertama tahun 2021 menyusup ke jaringan dengan cara ini, menurut Proofpoint.

Trennya tidak akan kemana-mana, dan diperkirakan akan membengkak memasuki tahun baru, BlackBerry memperingatkan.

“Saat kami menyelidiki dan terkelupas setiap lapisan yang tumpang tindih selama penyelidikan kami, terkadang kami hanya menggores permukaan kolaborasi semacam itu, ”peneliti menyimpulkan. “Tidak diragukan lagi ada banyak sekali kelompok-kelompok ancaman yang bekerja sama… Jika ada, dapat diasumsikan bahwa ‘kemitraan bisnis’ kelompok-kelompok ancaman ini akan menjadi lebih lazim di masa depan.”

Ingin memenangkan kembali kendali atas kata sandi yang lemah berdiri di antara jaringan Anda dan serangan cyber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” pada Rabu ., 17 November jam 2 siang ET. Disponsori oleh Specops.

Daftar SEKARANG untuk acara LANGSUNG dan kirimkan pertanyaan sebelumnya ke Becky Bracken dari Threatpost di [email protected]

 
Tulis komentar
Bagikan artikel ini:

  • Malwareliu
      iKeamanan Web

    b