Блацк Баста Рансомваре користи нову тактику друштвеног инжењеринга
Група Блацк Баста Рансомваре, позната по својим стратегијама које се развијају, усвојила је нове методе испоруке терета од октобра 2024. Поред својих традиционалних кампања рансомваре-а, сада дистрибуирају претње као што су Збот и ДаркГате, што илуструје прорачунат помак у њиховом приступу компромисним циљевима.
Преглед садржаја
Друштвени инжењеринг сусреће бомбардовање путем е-поште
Блацк Баста користи бомбардовање е-поштом као почетни корак да савлада мете. Ова тактика укључује претплату на е-пошту жртве на бројне маилинг листе, ефективно утапајући легитимну комуникацију у поплаву нежељене поште. Након бомбардовања путем е-поште, нападачи се обраћају директно погођеним корисницима, користећи конфузију у своју корист.
Лажно представљање на познатим платформама
Значајна тактика примећена у августу 2024. укључује нападаче који се маскирају у ИТ особље или особље за подршку на платформама као што је Мицрософт Теамс. Представљајући се као инсајдери од поверења, они убеђују мете да се укључе у даљу интеракцију. У неким случајевима, нападачи се чак имитирају стварно ИТ особље из циљане организације, повећавајући њихов кредибилитет.
Коришћење алатки за даљински приступ за компромис
Жртве су често преварене да инсталирају легитиман софтвер за даљински приступ као што су АниДеск, ТеамВиевер или Мицрософт Куицк Ассист. Једном инсталирани, ови алати дају нападачима контролу над системом. Мицрософтов безбедносни тим прати групу сајбер криминалаца која користи Куицк Ассист под идентификатором Сторм-1811.
Обрнуте шкољке и претећи КР кодови
Поред алата за даљински приступ, нападачи користе ОпенССХ клијент за успостављање обрнутих шкољки, омогућавајући им да контролишу компромитоване системе. Други метод укључује слање злонамерних КР кодова преко платформи за ћаскање под маском додавања поузданог мобилног уређаја. Ови КР кодови вероватно преусмеравају жртве на штетну инфраструктуру или краду њихове акредитиве.
Испорука терета: крађа акредитива и накнадни напади
Када се приступ успостави, нападачи постављају додатне корисне податке, као што су прилагођени сакупљачи акредитива, Збот или ДаркГате. Ови алати им омогућавају да прикупе акредитиве, наброје окружење жртве и поставе терен за даље нападе. Крађа ВПН конфигурационих датотека, у комбинацији са компромитованим акредитивима, такође може омогућити нападачима да заобиђу вишефакторску аутентификацију и директно приступе мрежи циља.
Порекло и Арсенал Црног Баште
Блацк Баста се појавила као самостална група 2022. након распуштања банде Цонти рансомваре. У почетку се ослањајући на КакБот ботнет, група је од тада диверзификовала, интегришући софистициране технике друштвеног инжењеринга у своје операције.
Њихов арсенал злонамерног софтвера укључује:
- КНОТВРАП : Дропер само за меморију написан у Ц/Ц++, способан за извршавање корисних оптерећења у меморији.
- КНОТРОЦК : .НЕТ услужни програм који се користи за примену самог рансомваре-а.
- ДАВНЦРИ : Још један дроппер само за меморију који дешифрује и извршава уграђене ресурсе користећи тврдо кодирани кључ.
- ПОРТИАРД : Тунелер који се повезује са серверима за команду и контролу (Ц2) користећи прилагођени бинарни протокол.
- ЦОГСЦАН : Алат за извиђање заснован на .НЕТ-у за набрајање мрежних хостова.
Хибридни приступ пружању претњи
Еволуција Блацк Басте наглашава њихову транзицију са ослањања на ботнетове на хибридни модел који комбинује техничку софистицираност са друштвеним инжењерингом. Ова промена наглашава њихову прилагодљивост и одлучност да се инфилтрирају у циљне мреже, што представља упорни изазов за одбрану сајбер безбедности.
Остати на опрезу против Блацк Басте
Да би се супротставиле таквим претњама, организације морају дати приоритет свести о сајбер безбедности, применити робусне филтере е-поште и континуирано едуковати запослене о опасностима нежељене комуникације и тактика лажног представљања. Ефикасне мере су од суштинског значаја за ублажавање ризика које представља ова претња група која се стално прилагођава.