近几个月来，Intrinsec 的关注让 3AM（ThreeAM）组织曝光，该组织是网络犯罪领域的新玩家，该组织与 Conti 集团和 Royal 集团有着密切的联系。

勒索和数据泄露的创新方法

3AM 的一个独特之处在于他们创新的勒索策略。该组织通过受害者的社交网络传播有关数据泄露的信息，使用机器人向平台 X 上的官方账户发送消息，指出数据泄露。

与 Conti 和 Royal 勒索软件直接连接

第一份 3AM 活动报告 出现于 9 月份，当时赛门铁克团队发现攻击者在尝试部署 LockBit 恶意软件失败后转向了 ThreeAM 软件。进一步的研究表明，ThreeAM 很可能与 Royal 集团有关，该集团已更名为 Blacksuit，由 Conti 集团内 Team 2 集团的前成员组成。

技术证据和基础设施分析

Intrinsec 发现 3AM 和 Conti 之间的通信渠道、基础设施和TTP（策略、技术和程序）存在显着重叠。通过跟踪赛门铁克列出的作为妥协指标的 IP 地址 (185.202.0[.]111)，研究人员发现了一个 PowerShell 脚本来启动Cobalt Strike，该脚本早在 2020 年就被发现。此外，还观察到与 Zeon 勒索软件类似的活动，以及 XingLocker 和 Conti 组织之前用来传播恶意软件的 IcedID 恶意软件的使用。

研究人员还发现，Tor 网络上 3AM 数据泄露网站的 HTML 内容已被连接到互联网的服务器的 Shodan 平台索引，这意味着可以通过常规网络访问它。Tor 网络上的凌晨 3 点数据泄露网站显示了 19 名未支付赎金的受害者的名单，他们的数据已被公布。令人惊讶的是，3AM 网站与 LockBit 泄露网站非常相似。

与立陶宛公司 Cherry Servers 联系

研究人员还发现 3AM 与立陶宛 Cherry Servers 公司的服务器之间存在连接。一个显着的特点是在公司的 27 台服务器上使用相同的端口、协议和版本的 Apache 产品。

Cherry Servers 是一家欺诈风险相对较低的托管公司，但研究人员发现该公司的客户在其服务器上托管了 Cobalt Strike 工具。此外，分析的 IP 地址上的域具有来自 Google Trust Services LLC 的 TLS 证书，并已转移到 Cloudflare。

勒索策略创新

Intrinsec 团队发现 3AM 可能正在测试新的勒索策略，使用 X 中的自动回复来传播攻击成功的消息。这种策略仅在涉及凌晨 3 点受害者的一起案件中使用过，表明其效果有限。

尽管 ThreeAM 似乎是 Royal 的一个不太复杂的子组织，但由于其进行大量攻击的潜力，不应低估它。这凸显了网络犯罪不断变化的性质以及追踪特定群体成员或将他们与行动联系起来的难度。

文章原文链接:https://www.anquanke.com/post/id/292825