近几个月来，网络安全研究人员揭露了主要勒索软件团伙之间一张错综复杂的隐藏联盟网络，这改变了防御者对这些威胁的认知。

从历史上看，勒索软件团伙（如Conti、LockBit、Evil Corp等）曾被视为独立实体，如今已演变成一个动态市场，代码、基础设施和人力资源在运营者之间自由流动。

2024年年中“Conti”组织被捣毁等重大事件发生后，这种转变进程加快，迫使附属机构四散，并以新的名号重新整合。

结果就是形成了一个碎片化的生态系统，在这个系统中，仅基于勒索软件家族名称进行的归因变得越来越不可靠。

Domaintools的分析师发现了重叠的基础设施足迹和共享的二进制工件，这表明存在资源共享，而非孤立的犯罪派系。

被动DNS记录、共享的SSL证书以及重复的命令与控制域名显示，多个团伙利用了相同的防弹主机服务提供商，这表明他们要么存在直接合作，要么在附属层级有共同的关联。

这些基础设施的重叠凸显了防御者有必要追踪潜在资产和行为，而非表面的品牌标签。

除了基础设施之外，详细的代码分析还发现了加密程序和持久化模块中存在显著的相似之处。

对Black Basta和QakBot的加载器阶段进行的对比反汇编显示，驻留内存的解密器中存在相同的操作码序列，这表明存在代码复用或直接的传承关系。

在一个案例中，Black Basta初始加载程序中发现的解密存根与QakBot的程序非常相似，仅偏移值有所不同：-

for (int i = 0; i < encryptedSize; i++) {
    decrypted[i] = encrypted[i] ^ key[(i + keyOffset) % keyLen];
}

这段代码片段展示了仿射密钥索引如何在多个恶意软件家族中实现多态加密，从而使基于特征的检测变得复杂。

感染机制：无文件部署与持久化

深入研究其感染机制，会发现一种复杂的无文件方法，这种方法旨在规避终端防御。

攻击者首先利用暴露的远程桌面协议服务或钓鱼载体，在内存中部署轻量级的PowerShell加载器。

一旦执行，此加载程序会使用Windows API的VirtualAlloc和WriteProcessMemory函数，将第二阶段有效载荷直接注入explorer.exe进程。

一种典型的持久化策略是在HKCU:\Software\Microsoft\Windows\CurrentVersion\Run下写入一个注册表项，该注册表项会在用户登录时使用经base64编码的参数执行加载程序。

Domaintools的研究人员指出，这种内存注入不仅能绕过传统的反病毒扫描，还会利用合法的系统二进制文件来融入正常操作。

通过了解这些隐藏的联盟和攻击策略，网络安全团队可以优先检测共享的基础设施和代码模式，从而针对这种由人为驱动的模块化和快速品牌重塑所定义的威胁环境构建更具韧性的防御体系。