BlackBerry phát hiện các tin tặc trung gian liên kết với 3 nhóm hacker khác nhau

zebra 2104

Một nhóm tin tặc trung gian chưa được ghi nhận trước đây đã bị lật tẩy là nhóm cung cấp các điểm xâm nhập cho ba nhóm tin tặc khác nhau, các cuộc tấn công này đa dạng từ các mã độc ransomware với mục tiêu tài chính tới các chiến dịch lừa đảo phishing.

Nhóm nghiên cứu của BlackBerry đặt biệt danh cho nhóm này là “Zebra2104“. Nhóm này chịu trách nhiệm cho việc cung cấp các hướng xâm nhập kỹ thuật số cho các tổ chức ransomware như MountLocker, Phobos cũng như nhóm tin tặc tấn công có chủ đích (APT) được theo dõi với biệt danh StrongPity (hay còn gọi là Promethium).

Các mối đe dọa ngày nay đang ngày càng bị chi phối bởi một nhóm những người tạm gọi là tin tặc trung gian (IABs). Những người này được biết đến nhờ việc cung cấp điểm xâm nhập của một lượng rất lớn các tổ chức từ nhiều ngành nghề khác nhau, thông qua các cửa sau (backdoor) trong hệ thống mạng của nạn nhân cho các nhóm tội phạm mạng, bao gồm cả các nhóm ransomware. Sau đó chúng đã xây dựng một hệ thống mua bán thông tin cho việc xâm nhập từ xa.

Chuyên gia của BlackBerry cho biết trong một bản báo cáo công bố vào tuần trước rằng: “IABs đầu tiên sẽ giành quyền truy cập vào mạng của nạn nhân, sau đó sẽ bán quyền truy cập này lại cho người ra giá cao nhất trên một diễn đàn ngầm ở trên dark web. Tiếp theo, người mua thường sẽ triển khai mã độc ransomware hoặc các mã độc với mục tiêu tài chính khác tùy vào mục tiêu của chiến dịch tấn công”.

Một phân tích vào tháng 8/2021 của hơn 1000 quyền truy cập bị rao bán bởi các IABs trên các diễn đàn ngầm trên dark web cho thấy rằng giá trung bình của các quyền truy cập này rơi vào khoảng 5,400 Đô trong khoảng thời gian từ tháng 7/2020 tới tháng 8/2021. Trong đó quyền truy cập cấp quản trị vào hệ thống tên miền của các tổ chức là mặt hàng có giá trị nhất.

IAB access

Cuộc điều tra của công ty an ninh mạng Canada bắt đầu với một tên miền “trashborting[.]com” được phát hiện phát tán Cobalt Strike Beacons, sử dụng nó để mở rộng cơ sở hạ tầng và kết nối với một vài chiến dịch malspam nhằm phát tán mã độc ransomware nhắm vào các công ty bất động sản và cơ quan chính quyền của Úc vào tháng 9/2020.

Ngoài ra “supercombinating[.]com”, một tên miền chị em khác được đăng ký cùng với trashborting[.]com đã được phát hiện có liên quan tới các hoạt động của MountLockerPhobos. Thậm chí khi tên miền này được giải mã thành địa chỉ IP “91.92.109[.]174″còn để lộ ra rằng nó cũng được sử dụng để host tên miền thứ ba “mentiononecommon[.]com”từ tháng 4 tới tháng 11/2020, và được sử dụng như một máy chủ điều khiển trong một chiến dịch vào tháng 6/2020 có liên quan tới nhóm StrongPity.

attack map

Việc IABs nhắm vào các mục tiêu đan xen nhau và rộng rãi khiến cho các chuyên gia tin rằng “họ hoặc là có nguồn nhân lực rất lớn hoặc là đã đặt rất nhiều các bẫy rõ như ban ngày trải khắp internet”. Điều này cho phép MountLocker, Phobos và StrongPity có quyền truy cập vào hệ thống mạng của các nạn nhân.

“Mạng lưới liên kết các cơ sở hạ tầng độc hại được phát hiện trong suốt nghiên cứu này đã chỉ ra rằng, các nhóm tội phạm mạng hoạt động không khác gì các tổ chức đa quốc gia trong thế giới kinh doanh hợp pháp. Họ tạo ra các mối quan hệ đối tác và liên minh để đạt được mục tiêu, có thể khẳng định rằng các mối quan hệ “đối tác kinh doanh” của những nhóm tin tặc này sẽ càng trở nên phổ biến trong tương lai”- các chuyên gia cho hay.

Theo Thehackernews