【安全圈】Black Basta 在 Qakbot 下架后开发定制恶意软件

关键词

恶意软件

在去年取缔 Qakbot 僵尸网络之后，作为战略转变的一部分，取得了巨大的成功，Black Basta 勒索软件组织已转向使用新的定制工具和初始访问技术。

专家表示，该组织的发展已经损害了 500 多名受害者，并且还在不断增加，这表明了威胁组织的复原力，由于执法和其他干扰，他们不得不立即改变策略，但仍然以某种方式继续在他们的网络犯罪行动中蓬勃发展。

Black Basta 最初声名鹊起的是它对 Qakbot 的大量使用，它通过复杂且不断发展的网络钓鱼活动进行分发。作为初始访问木马，Qakbot 可以部署大量公开可用的开源工具，并最终部署该团伙的同名勒索软件。然而，大约一年前，在一项名为“鸭子狩猎行动”的联邦执法活动中，Qakbot僵尸网络基本上停止了运行（尽管此后它再次出现），迫使该组织寻找访问受害者基础设施的新模式。

Mandiant的研究人员在本周的一篇博客文章中透露，最初，Black Basta继续使用网络钓鱼甚至电话钓鱼来传播其他类型的恶意软件，例如Darkgate和Pikabot，但很快开始寻找替代方案来进行进一步的恶意活动。

Mandiant研究人员在帖子中写道，该组织被Mandiant追踪为UNC4393，现在已经进入了“从现成的工具到定制恶意软件开发的过渡，以及对访问代理的不断发展的依赖和初始访问技术的多样化”。

“SilentNight”卷土重来

初始访问的新方法之一涉及部署一个名为 SilentNight 的后门，该组织分别在 2019 年和 2021 年使用，然后将其上架直到去年。研究人员表示，今年早些时候，该组织再次开始将其用于恶意广告活动，这标志着“远离网络钓鱼的显着转变”，网络钓鱼以前是“唯一已知的初始访问方式”，他们在帖子中写道。

SilentNight 是一个 C/C++ 后门，通过 HTTP/HTTPS 进行通信，并可能利用域生成算法进行命令和控制 （C2）。研究人员写道，它有一个模块化框架，允许插件提供“多功能功能，包括系统控制、屏幕截图捕获、键盘记录、文件管理和加密货币钱包访问”。它还通过浏览器操作来定位凭据。

研究人员发现，一旦 Black Basta 获得对目标环境的访问权限，该组织就会使用一系列陆上生活 （LotL） 技术和各种自定义恶意软件来实现持久性和横向移动，然后再部署勒索软件。

研究人员指出：“UNC4393的目标是尽快收集尽可能多的数据，然后将收集的数据泄露出去，进行多方面的勒索，利用数据泄露的威胁向受害者施压，要求他们支付赎金。

用于优化攻击的自定义工具

在获得初始访问权限后部署的首批新工具之一称为Cogscan，它似乎已经取代了该组织以前使用的开源工具，例如Bloodhound，Adfind和PSNmap，以帮助绘制受害者网络并识别横向移动或权限提升的机会。

研究人员观察到，Cogscan是一种.NET侦察工具，用于枚举网络上的主机并收集系统信息，并被Black Basta本身内部称为“GetOnlineComputers”。

另一个值得注意的新工具是 Knotrock，它允许 Black Basta 加快其勒索软件的部署。基于 NET 的实用程序。Knotrock 在本地文本文件中指定的网络共享上创建符号链接;创建每个符号链接后，Knotrock 会执行勒索软件可执行文件，并为其提供新创建的符号链接的路径。

“归根结底，Knotrock具有双重目的：它通过提供网络通信功能来协助现有的Basta加密器，并通过主动绘制可行的网络路径来简化操作，从而减少部署时间并加速加密过程，”Mandiant研究人员写道。

他们指出，该恶意软件代表了UNC4393运营的演变，因为它“通过加快加密过程以实现更大规模的攻击并显着减少其勒索时间”来增强其能力。

研究人员说，在最近的攻击中观察到的其他新工具包括名为Portyard的命令和控制（C2）通信隧道技术，以及一种仅内存的投放器，该滴管将嵌入的资源解密到名为DawnCry的内存中。

Black Basta：重大威胁依然存在

一位安全专家指出，Black Basta的初始访问权限和工具的变化表明，该组织具有“复原力”，这表明它将继续对“各种规模的组织”构成威胁，即使它正在摆脱网络钓鱼，这是最成功的网络犯罪形式之一。

“鉴于这个团伙的成功，毫无疑问，他们的战争资金中储备了大量资金，使他们能够开发自己的工具并提高攻击能力，”安全公司KnowBe4的安全意识倡导者Erich Kron说。

事实上，Mandiant研究人员表示，Black Basta在使用新工具和技术方面具有适应和创新的能力，这意味着防御者也必须积极主动，并利用可用的最新技术和威胁情报来加强其安全措施。

Kron建议的针对组织的防御措施包括“员工教育和培训，以对抗社会工程;强大的数据丢失预防控制措施，防止数据被盗;一个良好的端点检测和响应系统，可以发现并阻止从受感染计算机加密文件的尝试;以及不可变和经过测试的备份，以便在系统加密的情况下实现快速恢复。

END

阅读推荐

【安全圈】“网络身份证”试点上线：微信、小红书等APP已加入

【安全圈】揭秘“Sitting Ducks”DNS攻击：黑客如何毫不费力地接管你的域名

【安全圈】警惕！黑客正利用Cloudflare服务实施远程控制攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

**支持「**安全圈」就点个三连吧！