研究人员将 3AM 勒索软件与皇家网络犯罪团伙 Conti 联系起来

安全研究人员分析了最近出现的 3AM 勒索软件操作的活动，发现其与 Conti 集团和 Royal 勒索软件团伙等臭名昭著的组织有密切联系。

3AM（也拼写为 ThreeAM）也一直在尝试一种新的勒索策略：与受害者的社交媒体关注者分享数据泄露的消息，并使用机器人回复 X（以前称为 Twitter）上的高级帐户，发送指向数据泄露的消息。

3AM 与 Conti 网络犯罪集团有关联

3AM 勒索软件团伙的活动于 9 月中旬首次公开记录，当时赛门铁克（现隶属于博通）的威胁猎手团队透露，他们注意到威胁参与者在部署 LockBit 恶意软件失败后转而使用 ThreeAM 勒索软件。

法国网络安全公司Intrinsec的研究人员表示，ThreeAM 很可能与 Royal 勒索软件组织有关，该组织现已 更名为 Blacksuit，该团伙由 Conti 集团内 Team 2 的前成员组成。

随着 Intrinsec 对该组织的策略、攻击中使用的基础设施和通信渠道的调查取得进展，3AM 勒索软件与 Conti 集团之间的联系变得更加紧密。

在与 BleepingComputer 分享的一份报告中，Intrinsec 表示，他们对威胁行为者的分析显示，3AM 和 Conti 集团之间的通信渠道、基础设施以及战术、技术和程序 (TTP) 存在“重大重叠”。

Intrinsec 研究人员使用赛门铁克在有关威胁行为者攻击的报告中将其列为网络威胁指示器的 IP 地址 ( 185.202.0[.]111 )，在 VirusTotal 上发现了一个用于删除自 2020 年以来检测到的 Cobalt Strike 的 PowerShell 脚本。

在另一项发现中，Intrinsec 在 TCP 端口 8000 上观察到一个 SOCKS4 代理，该端口通常用于隧道通信。研究人员指出，“自 2022 年中期以来，与此 Socks4 服务相关的签名显示在两个 IP 地址上，显示出此类代理标志。”

“这一活动时间表与已知的 Zeon 勒索软件一致，根据趋势科技的数据，该勒索软件于 2022 年 9 月观察到，但可能在 2022 年 1 月下旬更早的时候首次出现峰值” - Intrinsec

此外，Intrinsec 分析师还发现了名为“DESKTOP-TCRDU4C”的计算机上的 RDP 服务的 TLS 证书，该证书与 2022 年中期的攻击相关，其中一些攻击在 Royal 勒索软件的攻击中利用了 IcedID 恶意软件植入程序。

此前，IcedID 曾被用来传播来自 XingLocker 的勒索软件，该公司更名为 Quantum 和 Conti 集团。

研究人员还发现，Tor 网络中 3AM 数据泄露网站的 HTML 内容已被 Shodan 平台编入互联网连接服务器的索引，这意味着可以通过明网获取该内容。

研究人员表示，Shodan 显示了与“nginx 产品相关的 IP 地址，该产品可用于将网络流量代理到真正的服务器”。

经过追踪，Intrinsec 注意到该服务器上的相同 Apache httpd 横幅也出现在其他 27 台服务器上，这些服务器均由名为“UAB Cherry Servers”的组织托管。

Cherry Servers 是一家立陶宛托管公司，欺诈风险相对较低 ，但威胁情报服务发现该公司的客户托管了 Cobalt Strike等恶意软件。

更仔细的分析显示，27 台服务器中的 6 台共享相同的端口、协议、相同版本的 Apache 产品、自治系统 (AS16125)、组织以及表示“有限责任公司”的文本“llc”。

除此之外，分析的 IP 地址处的域具有来自 Google Trust Services LLC 的 TLS 证书，并已转移到 Cloudflare。

Intrinsec 在去年 4 月网络安全和托管服务公司 Bridewell 的一份报告中发现了相同的 IP 子网，该报告指出 ALPHV/BlackCat 勒索软件操作仅在 UAB Cherry Servers ISP 上托管其后端基础设施，使用同一子网中的 IP 地址，以及一些其中与用于 Conti 攻击的 IcedID 恶意软件有关 。

Intrinsec 的技术发现与 RedSense 的威胁情报一致，称ALPHV 是一个联盟组织，不属于 Conti 集团，但可以通过各种方式帮助该团伙实施攻击。

测试 Twitter 机器人向受害者施压

Intrinsec 的网络威胁情报团队挖掘了有关 ThreeAM 的更多公开信息，发现该团伙可能测试了一种新的勒索技术，使用 X（以前称为 Twitter）上的自动回复来广播其成功攻击的消息。

威胁行为者于去年 8 月 10 日建立了一个 X/Twitter 帐户，并用它留下了提及其中一名受害者的“大量回复”，并重定向到了数据泄露网站。

3AM 勒索软件回复了 Tor 网络上 3AM 数据泄露网站的链接，该链接来自受害者以及各种帐户的推文，其中一些帐户拥有数十万关注者，如下例所示。

这种策略很可能被用来传播攻击和随后的数据泄露的消息，并损害受害者（一家提供自动化打包服务的美国公司）的商业声誉。

Intrinsec 研究人员确定 ThreeAM 以自动方式使用相同的消息来响应一些受害者关注者的多条推文。

Intrinsec 在与 BleepingComputer 分享的私人报告中写道：“我们充满信心地评估，X/Twitter 机器人很可能被用来进行这种点名羞辱活动。”

证明这一理论的是 ThreeAM 回复量和频率的增加，有时每天多达 86 条，远远超过真实用户的平均水平，每分钟大约 4 条。

值得注意的是，这种策略似乎只适用于一名凌晨 3 点受害者，可能是因为它没有产生威胁行为者预期的结果。

查看 Tor 网络中的 3AM 数据泄露站点，可以看到 19 名受害者的名单，他们没有支付赎金，但威胁者泄露了他们的数据。令人惊讶的是，3AM 的网站看起来与 LockBit 勒索软件操作所使用的网站非常相似。

Intrinsec 指出，“虽然 ThreeAM 入侵集似乎是 Royal 的一个不太复杂的子组织”，并且该团伙表现出较低的操作安全性，但不应低估它，它仍然可以部署大量攻击。

康迪集团

 Conti 网络犯罪集团是 2020 年至 2022 年 5 月因发生称为 Conti Leaks 的数据泄露事件而关闭期间规模最大、最具攻击性的勒索软件活动 。

在其最高效的黑客攻击活动之一中，该组织的附属机构在不到一个月的时间里就攻陷了 40 多个组织，最快 的攻击 从首次访问加密系统起仅需要三天时间。

该集团分裂为多个小组，勒索软件品牌解散，但其许多成员和附属机构与其他组织合作，与经验丰富的个人一起参与攻击的各个阶段，从目标分析和初始访问，到谈判、基础设施、开发人员和运营商。

RedSense 网络威胁情报研究员Yelisey Bohuslavskiy表示，  Royal 勒索软件是其中的一个延续，它是“Conti 的直接继承人” ，这是一个封闭的行动，成员之间相互认识。

由于黑客论坛上的一篇帖子，一些研究人员推测皇家组织的一位领导人是一个自称“坏人”的威胁行为者。然而，Bohuslavskiy 表示，目前还没有公开披露有关此事的其他证据，而且如今勒索软件的情况不断变化，Baddie 可能只是参与了多个勒索软件即服务 (RaaS) 操作。

在与多个 RaaS 团体合作的分支机构这样混乱的场景中，很难追踪特定团伙的成员或将他们与某个行动联系起来。