Зловмисники, пов’язані з Black Basta, еволюціонують свої тактики соціальної інженерії, використовуючи нові шкідливі завантаження, такі як Zbot і DarkGate, починаючи з жовтня 2024 року.
За даними Rapid7, одна з нових тактик включає email-бомбардування користувачів у цільовому середовищі. Це здійснюється шляхом масового підписування електронної пошти жертви на численні розсилки. Після цього зловмисники зв’язуються з постраждалими для подальшої маніпуляції.
У серпні було зафіксовано, що атакувальники починають взаємодію через Microsoft Teams, видаючи себе за працівників служби підтримки або IT-фахівців організації. В деяких випадках вони також імітували IT-персонал із самої організації.
Установка віддаленого доступу як шлях до компрометації
Жертвам пропонують встановити легітимне програмне забезпечення для віддаленого доступу, таке як AnyDesk, TeamViewer або Quick Assist. Microsoft відстежує цю групу під назвою Storm-1811 через її зловживання Quick Assist для впровадження Black Basta.
Rapid7 також виявила спроби використання OpenSSH для встановлення реверс-шелу, а також надсилання шкідливих QR-кодів через чати. Ці QR-коди, ймовірно, використовуються для викрадення облікових даних користувачів або перенаправлення на шкідливу інфраструктуру.
Використання облікових даних та VPN
Після встановлення AnyDesk або аналогічного ПЗ зловмисники доставляють додаткові шкідливі завантаження, зокрема програми для збору облікових даних, Zbot або DarkGate, які використовуються для подальших атак. Мета полягає в отриманні облікових даних користувача, файлів VPN-конфігурацій і, за можливості, обхід багатофакторної аутентифікації (MFA), що дозволяє безпосередній доступ до мережі цільової організації.
Еволюція Black Basta
Black Basta з’явилася після розпаду Conti у 2022 році, спочатку покладаючись на QakBot для проникнення в системи. Згодом група адаптувалася до використання технік соціальної інженерії та створила власні шкідливі програми, серед яких:
- KNOTWRAP – інструмент для завантаження шкідливого ПЗ у пам’ять;
- KNOTROCK – утиліта для запуску шифрувальника;
- DAWNCRY – дешифратор для завантаження ресурсів у пам’ять;
- PORTYARD – тунелер для зв’язку із сервером управління (C2);
- COGSCAN – інструмент для збору інформації про доступні в мережі хости.
Експерти RedSense відзначають, що ця еволюція демонструє перехід Black Basta від ботнетів до гібридної моделі, яка активно використовує соціальну інженерію.
Нові виклики у сфері кібербезпеки
Аналіз Check Point виявив оновлений варіант шкідливого ПЗ Akira, створений на основі Rust, а також нові техніки розповсюдження, такі як SEO-поєднання з typosquatted-доменами. Такі домени, що імітують популярні сайти, вводять користувачів в оману, змушуючи їх завантажувати шкідливі файли.
Крім того, спостерігається зростання атак із використанням шкідливих програм Rhysida та Mimic, що маскуються під установники Microsoft Teams чи Google Chrome.
Експерти закликають організації бути пильними, впроваджувати багатофакторну аутентифікацію та навчати співробітників виявляти ознаки атак соціальної інженерії.
