Black Basta 勒索軟體利用新的社會工程策略

Black Basta 勒索軟體組織以其不斷發展的策略而聞名，自2024 年10 月起已採用新的有效負載交付方法。在攻擊目標的方法上經過了精心策劃的轉變。

社會工程遇上電子郵件轟炸

Black Basta 採用電子郵件轟炸作為壓倒目標的第一步。這種策略涉及將受害者的電子郵件訂閱到眾多郵件列表，從而有效地將合法通訊淹沒在大量垃圾郵件中。電子郵件轟炸後，攻擊者直接聯繫受影響的用戶，利用混亂來獲得優勢。

在熟悉的平台上進行冒充

2024 年 8 月觀察到的一個值得注意的策略涉及攻擊者在 Microsoft Teams 等平台上偽裝成 IT 員工或支援人員。透過冒充可信的內部人士，他們說服目標進行進一步的互動。在某些情況下，攻擊者甚至冒充目標組織的實際 IT 員工，從而增強他們的可信度。

利用遠端存取工具進行妥協

受害者經常被誘騙安裝合法的遠端存取軟體，例如 AnyDesk、TeamViewer 或 Microsoft 的 Quick Assist。一旦安裝，這些工具就會授予攻擊者對系統的控制權。微軟的安全團隊追蹤利用識別碼 Storm-1811 的 Quick Assist 的網路犯罪組織。

反向Shell和威脅二維碼

除了遠端存取工具外，攻擊者還使用 OpenSSH 用戶端建立反向 shell，從而能夠控制受感染的系統。另一種方法是以新增可信任行動裝置為幌子，透過聊天平台傳送惡意二維碼。這些二維碼可能會將受害者重定向到有害的基礎設施或竊取他們的憑證。

有效負載交付：憑證竊取和後續攻擊

一旦建立存取權限，攻擊者就會部署額外的有效負載，例如自訂憑證收集器、Zbot 或 DarkGate。這些工具使他們能夠收集憑證，列舉受害者的環境，並為進一步的攻擊奠定基礎。 VPN 設定檔被盜，加上憑證被洩露，還可能允許攻擊者繞過多重身分驗證並直接存取目標網路。

黑巴斯塔的起源與武庫

2022 年 Conti 勒索軟體集團解散後，Black Basta 成為獨立組織。該組織最初依賴 QakBot 殭屍網絡，後來實現多元化，將複雜的社會工程技術融入其營運中。

他們的惡意軟體庫包括：

• KNOTWRAP ：用 C/C++ 編寫的僅記憶體釋放器，能夠在記憶體中執行有效負載。
• KNOTROCK ：用於部署勒索軟體本身的 .NET 實用程式。
• DAWNCRY ：另一個僅記憶體釋放器，使用硬編碼金鑰解密並執行嵌入式資源。
• PORTYARD ：使用自訂二進位協定連接到命令和控制（C2）伺服器的隧道器。
• COGSCAN ：基於 .NET 的網路主機枚舉偵察工具。

威脅傳遞的混合方法

Black Basta 的演變凸顯了他們從依賴殭屍網路到將技術複雜性與社會工程結合的混合模式的轉變。這種轉變凸顯了他們滲透目標網路的適應性和決心，對網路安全防禦構成了持續的挑戰。

對黑巴斯塔保持警惕

為了應對此類威脅，組織必須優先考慮網路安全意識，實施強大的電子郵件過濾器，並持續教育員工了解未經請求的通訊和假冒策略的危險。有效的措施對於減輕這個不斷變化的威脅團體所帶來的風險至關重要。