باج افزار Black Basta از تاکتیک های مهندسی اجتماعی جدید بهره برداری می کند

گروه باج‌افزار Black Basta، که به‌خاطر استراتژی‌های در حال تحول خود شناخته می‌شود، از اکتبر 2024 روش‌های تحویل محموله جدیدی را اتخاذ کرده است. آنها در کنار کمپین‌های باج‌افزار سنتی خود، اکنون تهدیداتی مانند Zbot و DarkGate را توزیع می‌کنند که نشان‌دهنده تغییر حساب شده در رویکرد آنها برای به خطر انداختن اهداف است.

مهندسی اجتماعی با بمباران ایمیل روبرو می شود

Black Basta از بمباران ایمیل به عنوان گام اولیه برای غلبه بر اهداف استفاده می کند. این تاکتیک شامل اشتراک ایمیل قربانی در لیست های پستی متعدد است، که به طور موثر ارتباطات قانونی را در سیل اسپم غرق می کند. پس از بمباران ایمیل، مهاجمان مستقیماً با کاربران آسیب دیده تماس می گیرند و از سردرگمی به نفع خود استفاده می کنند.

جعل هویت در پلتفرم های آشنا

یک تاکتیک قابل توجه که در آگوست 2024 مشاهده شد، شامل این است که مهاجمان به عنوان کارکنان فناوری اطلاعات یا پرسنل پشتیبانی در پلتفرم هایی مانند تیم های مایکروسافت ظاهر می شوند. آنها با ظاهر شدن به عنوان افراد داخلی مورد اعتماد، اهداف را متقاعد می کنند که در تعامل بیشتر شرکت کنند. در برخی موارد، مهاجمان حتی هویت کارکنان IT واقعی سازمان مورد نظر را جعل می‌کنند و اعتبار آنها را تقویت می‌کنند.

استفاده از ابزارهای دسترسی از راه دور برای سازش

قربانیان اغلب فریب داده می‌شوند تا نرم‌افزار دسترسی از راه دور قانونی مانند AnyDesk، TeamViewer یا Quick Assist مایکروسافت را نصب کنند. پس از نصب، این ابزارها به مهاجمان کنترل سیستم را می دهند. تیم امنیتی مایکروسافت گروه مجرمان سایبری را که از Quick Assist سوء استفاده می کنند تحت شناسه Storm-1811 ردیابی می کنند.

پوسته های معکوس و کدهای QR تهدید کننده

علاوه بر ابزارهای دسترسی از راه دور، مهاجمان از سرویس گیرنده OpenSSH برای ایجاد پوسته های معکوس استفاده می کنند و آنها را قادر می سازد تا سیستم های در معرض خطر را کنترل کنند. روش دیگر شامل ارسال کدهای QR مخرب از طریق پلتفرم‌های چت به بهانه افزودن یک دستگاه تلفن همراه قابل اعتماد است. این کدهای QR احتمالا قربانیان را به زیرساخت های مضر هدایت می کنند یا اعتبار آنها را به سرقت می برند.

تحویل محموله: سرقت اعتبار و حملات بعدی

هنگامی که دسترسی برقرار شد، مهاجمان بارهای اضافی مانند برداشت کننده اعتبار سفارشی، Zbot یا DarkGate را مستقر می کنند. این ابزارها آنها را قادر می سازد تا اعتبارنامه ها را جمع آوری کنند، محیط قربانی را برشمارند و زمینه را برای حملات بعدی فراهم کنند. سرقت فایل های پیکربندی VPN، همراه با اعتبارنامه های به خطر افتاده، ممکن است به مهاجمان اجازه دهد تا احراز هویت چند عاملی را دور بزنند و مستقیماً به شبکه هدف دسترسی پیدا کنند.

ریشه ها و آرسنال سیاه باستا

Black Basta در سال 2022 پس از انحلال باج افزار Conti به عنوان یک گروه مستقل ظاهر شد. این گروه در ابتدا با اتکا به بات نت QakBot، از آن زمان به بعد متنوع شد و تکنیک های پیچیده مهندسی اجتماعی را در عملیات خود ادغام کرد.

زرادخانه بدافزار آنها شامل موارد زیر است:

• KNOTWRAP : یک قطره چکان فقط با حافظه که به زبان C/C++ نوشته شده است و قادر به اجرای بارهای در حافظه است.
• KNOTROCK : یک ابزار دات نت که برای استقرار خود باج افزار استفاده می شود.
• DAWNCRY : قطره چکان دیگری که فقط حافظه دارد که منابع جاسازی شده را با استفاده از یک کلید رمزگذاری شده رمزگشایی و اجرا می کند.
• PORTYARD : یک تونل است که با استفاده از یک پروتکل باینری سفارشی به سرورهای فرمان و کنترل (C2) متصل می شود.
• COGSCAN : یک ابزار شناسایی مبتنی بر دات نت برای شمارش میزبان شبکه.

یک رویکرد ترکیبی برای تحویل تهدید

تکامل بلک باستا انتقال آن‌ها از اتکا به بات‌نت‌ها به یک مدل ترکیبی را نشان می‌دهد که پیچیدگی فنی را با مهندسی اجتماعی ترکیب می‌کند. این تغییر بر انطباق و عزم آنها برای نفوذ به شبکه‌های هدف تاکید می‌کند و چالشی دائمی برای دفاع امنیت سایبری ایجاد می‌کند.

هشیار ماندن در برابر بلک باستا

برای مقابله با چنین تهدیداتی، سازمان‌ها باید آگاهی از امنیت سایبری را در اولویت قرار دهند، فیلترهای ایمیل قوی را پیاده‌سازی کنند و به طور مداوم به کارکنان در مورد خطرات ارتباطات ناخواسته و تاکتیک‌های جعل هویت آموزش دهند. اقدامات موثر در کاهش خطرات ناشی از این گروه تهدید کننده همیشه در حال انطباق ضروری است.