在去年取缔 Qakbot 僵尸网络之后,作为战略转变的一部分,取得了巨大的成功,Black Basta 勒索软件组织已转向使用新的定制工具和初始访问技术。
专家表示,该组织的发展已经损害了 500 多名受害者,并且还在不断增加,这表明了威胁组织的复原力,由于执法和其他干扰,他们不得不立即改变策略,但仍然以某种方式继续在他们的网络犯罪行动中蓬勃发展。
Black Basta 最初声名鹊起的是它对 Qakbot 的大量使用,它通过复杂且不断发展的网络钓鱼活动进行分发。作为初始访问木马,Qakbot 可以部署大量公开可用的开源工具,并最终部署该团伙的同名勒索软件。然而,大约一年前,在一项名为“鸭子狩猎行动”的联邦执法活动中,Qakbot僵尸网络基本上停止了运行(尽管此后它再次出现),迫使该组织寻找访问受害者基础设施的新模式。
Mandiant的研究人员在本周的一篇博客文章中透露,最初,Black Basta继续使用网络钓鱼甚至电话钓鱼来传播其他类型的恶意软件,例如Darkgate和Pikabot,但很快开始寻找替代方案来进行进一步的恶意活动。
Mandiant研究人员在帖子中写道,该组织被Mandiant追踪为UNC4393,现在已经进入了“从现成的工具到定制恶意软件开发的过渡,以及对访问代理的不断发展的依赖和初始访问技术的多样化”。
“SilentNight”卷土重来
初始访问的新方法之一涉及部署一个名为 SilentNight 的后门,该组织分别在 2019 年和 2021 年使用,然后将其上架直到去年。研究人员表示,今年早些时候,该组织再次开始将其用于恶意广告活动,这标志着“远离网络钓鱼的显着转变”,网络钓鱼以前是“唯一已知的初始访问方式”,他们在帖子中写道。
SilentNight 是一个 C/C++ 后门,通过 HTTP/HTTPS 进行通信,并可能利用域生成算法进行命令和控制 (C2)。研究人员写道,它有一个模块化框架,允许插件提供“多功能功能,包括系统控制、屏幕截图捕获、键盘记录、文件管理和加密货币钱包访问”。它还通过浏览器操作来定位凭据。
研究人员发现,一旦 Black Basta 获得对目标环境的访问权限,该组织就会使用一系列陆上生活 (LotL) 技术和各种自定义恶意软件来实现持久性和横向移动,然后再部署勒索软件。
研究人员指出:“UNC4393的目标是尽快收集尽可能多的数据,然后将收集的数据泄露出去,进行多方面的勒索,利用数据泄露的威胁向受害者施压,要求他们支付赎金。
用于优化攻击的自定义工具
在获得初始访问权限后部署的首批新工具之一称为Cogscan,它似乎已经取代了该组织以前使用的开源工具,例如Bloodhound,Adfind和PSNmap,以帮助绘制受害者网络并识别横向移动或权限提升的机会。
研究人员观察到,Cogscan是一种.NET侦察工具,用于枚举网络上的主机并收集系统信息,并被Black Basta本身内部称为“GetOnlineComputers”。
另一个值得注意的新工具是 Knotrock,它允许 Black Basta 加快其勒索软件的部署。基于 NET 的实用程序。Knotrock 在本地文本文件中指定的网络共享上创建符号链接;创建每个符号链接后,Knotrock 会执行勒索软件可执行文件,并为其提供新创建的符号链接的路径。
“归根结底,Knotrock具有双重目的:它通过提供网络通信功能来协助现有的Basta加密器,并通过主动绘制可行的网络路径来简化操作,从而减少部署时间并加速加密过程,”Mandiant研究人员写道。
他们指出,该恶意软件代表了UNC4393运营的演变,因为它“通过加快加密过程以实现更大规模的攻击并显着减少其勒索时间”来增强其能力。
研究人员说,在最近的攻击中观察到的其他新工具包括名为Portyard的命令和控制(C2)通信隧道技术,以及一种仅内存的投放器,该滴管将嵌入的资源解密到名为DawnCry的内存中。
Black Basta:重大威胁依然存在
一位安全专家指出,Black Basta的初始访问权限和工具的变化表明,该组织具有“复原力”,这表明它将继续对“各种规模的组织”构成威胁,即使它正在摆脱网络钓鱼,这是最成功的网络犯罪形式之一。
“鉴于这个团伙的成功,毫无疑问,他们的战争资金中储备了大量资金,使他们能够开发自己的工具并提高攻击能力,”安全公司KnowBe4的安全意识倡导者Erich Kron说。
事实上,Mandiant研究人员表示,Black Basta在使用新工具和技术方面具有适应和创新的能力,这意味着防御者也必须积极主动,并利用可用的最新技术和威胁情报来加强其安全措施。
Kron建议的针对组织的防御措施包括“员工教育和培训,以对抗社会工程;强大的数据丢失预防控制措施,防止数据被盗;一个良好的端点检测和响应系统,可以发现并阻止从受感染计算机加密文件的尝试;以及不可变和经过测试的备份,以便在系统加密的情况下实现快速恢复。