Black Basta 勒索软件利用新的社会工程策略

通过Mezo在计算机安全

翻译为：

以其不断发展的策略而闻名的 Black Basta 勒索软件组织自 2024 年 10 月起采用了新的有效载荷传送方法。除了传统的勒索软件活动外，他们现在还传播 Zbot 和 DarkGate 等威胁，这表明他们在攻击目标的方法上发生了精心的转变。

Black Basta 使用电子邮件轰炸作为压倒目标的第一步。这种策略包括将受害者的电子邮件订阅到众多邮件列表中，从而有效地将合法通信淹没在垃圾邮件的洪流中。在电子邮件轰炸之后，攻击者直接联系受影响的用户，利用这种混乱来为自己谋利。

2024 年 8 月观察到的一种值得注意的策略是攻击者在 Microsoft Teams 等平台上伪装成 IT 员工或支持人员。通过冒充值得信赖的内部人员，他们说服目标进行进一步的互动。在某些情况下，攻击者甚至冒充目标组织的实际 IT 人员，以增加他们的可信度。

受害者经常被诱骗安装合法的远程访问软件，例如 AnyDesk、TeamViewer 或 Microsoft 的 Quick Assist。安装后，这些工具将授予攻击者对系统的控制权。Microsoft 的安全团队以标识符 Storm-1811 跟踪利用 Quick Assist 的网络犯罪团伙。

除了远程访问工具外，攻击者还使用 OpenSSH 客户端建立反向 shell，从而控制受感染的系统。另一种方法是通过聊天平台发送恶意二维码，伪装成添加受信任的移动设备。这些二维码可能会将受害者重定向到有害的基础设施或窃取他们的凭证。

一旦建立访问权限，攻击者就会部署其他有效载荷，例如自定义凭据收集器、Zbot 或 DarkGate。这些工具使他们能够收集凭据、枚举受害者的环境并为进一步的攻击做好准备。窃取 VPN 配置文件，再加上泄露的凭据，也可能让攻击者绕过多因素身份验证并直接访问目标网络。

在 Conti 勒索软件团伙解散后，Black Basta 于 2022 年成为一个独立组织。该组织最初依赖 QakBot 僵尸网络，后来逐渐多元化，将复杂的社会工程技术融入其运营中。

他们的恶意软件库包括：

Black Basta 的演变凸显了其从依赖僵尸网络向结合技术复杂性和社会工程的混合模式的转变。这一转变凸显了其适应能力和渗透目标网络的决心，对网络安全防御构成了持续挑战。

为了应对此类威胁，组织必须优先考虑网络安全意识，实施强大的电子邮件过滤器，并不断教育员工了解未经请求的通信和冒充策略的危险。有效的措施对于减轻这个不断调整的威胁团体带来的风险至关重要。

搜索