2021年11月11日,星期四

黑莓是如何找到一个支持威胁组织的初始接入代理的

黑莓(BlackBerry)的研究人员认为,他们已经发现了一种新的威胁行为体,它为多个黑客组织充当初始访问中间人,其中包括两个勒索软件团伙和一名从事间谍活动的攻击者。

在周五发布的一份报告中黑莓称,一个名为Zebra2104的威胁演员是MountLocker和Phobos勒索软件团伙与间谍相关的高级持续威胁组织StrongPity之间的联系。

该报告与其他分析一起显示了威胁行为体如何专门从事网络安全攻击链的各个部分。初始访问代理以各种方式闯入组织的IT网络,然后在地下论坛上将该访问权卖给出价最高的人。根据目标的感知价值,价格从25美元到数千美元不等。实际上是中标人在受害者的系统上启动了恶意软件。

黑莓发现斑马2104的故事将引起威胁情报调查人员的兴趣;黑莓指出,执行情报关联可以帮助研究人员更清楚地了解看似不同的群体如何建立伙伴关系和共享资源。

“如果你的行为我们看到(如妥协的指标)你可以意识到这些都是演员与一个特定的威胁,所以如果你可以保护自己不受初始访问代理…它让你了解你是谁的目标,”吉姆·辛普森,黑莓的威胁情报总监在接受采访时表示。

黑莓威胁情报副总裁埃里克•米拉姆(Eric Milam)补充称,阻止一个最初的接入中介,可能会阻止100起攻击。

搜索开始于对一个为Cobalt Strike beacon服务的域名的调查。Cobalt Strike是渗透测试人员用来模拟网络攻击的合法工具,威胁行为者也在使用该工具。这导致研究人员转向其他领域,以及一个正在推出恶意软件活动的邮件服务器。其中两个域名参与了针对澳大利亚目标的网络钓鱼活动。

利用公开可用的研究——例如,来自思科系统、DFIR、微软博客、Sophos报告,其中提到了泄露和可疑域名的指标,以及在俄罗斯WHOIS互联网注册表上搜索域名背后的信息——研究人员发现了通往三个威胁参与者的IP地址,以及他们似乎共享的基础设施。

然而,黑莓得出的结论是,还有第四个竞争者,它称之为Zebra2104,它要么是一个初始接入代理,要么为威胁集团提供基础设施即服务。

黑莓表示,这样的工作证明了开源情报对威胁猎手的价值。

报告称,只有通过对威胁情报的跟踪、记录和共享,网络安全领域才能监控和防范威胁组织。“如果坏人合作,”它补充道,“我们也应该合作。”

你能推荐这篇文章吗?

分享

感谢您花时间让我们知道您对这篇文章的看法!
我们很想听听你对这个故事的看法,或者你在我们的出版物上读到的任何其他故事。点击这个链接给我发送一个提示→

吉姆·洛夫, IT World Canada首席内容官必威账号
霍华德·所罗门
霍华德·所罗门
目前,我是一名自由撰稿人,曾任ITWorldCanada.com和Computing Canada的编辑。自1997年以来,我一直是一名IT记者,为ITWC的几份姊妹出版物撰写过文章,包括ITBusiness.ca和Computer Dealer News。在此之前,我是《卡尔加里先驱报》和《布兰顿(安大略省)日报》的记者。可以通过hsolomon[@]soloreporter.com联系到我

相关的科技新闻必威体育存款提款

Baidu