Uočeni su hakeri povezani s ransomwareom Black Basta kako mijenjaju svoje taktike društvenog inženjeringa , distribuirajući drugačiji skup korisnih opterećenja kao što su Zbot i DarkGate od početka oktobra 2024.
“Korisnici unutar ciljanog okruženja bit će bombardirani putem e-pošte od strane pretnje, što se često postiže istovremenom prijavom na više emailova lista korisnika”, rekao je Rapid7 . “Nakon bombe e-pošte, haker će doprijeti do pogođenih korisnika.”
Kao što je primećeno još u avgustu, napadači uspostavljaju početni kontakt sa potencijalnim ciljevima u Microsoft timovima, pretvarajući se da su osoblje za podršku ili IT osoblje organizacije. U nekim slučajevima, takođe su primećeni kako se lažno predstavljaju kao IT osoblje unutar ciljane organizacije.
Korisnici koji na kraju stupe u interakciju sa hakerima su pozvani da instaliraju legitiman softver za daljinski pristup kao što su AnyDesk, ScreenConnect, TeamViewer i Microsoftov Quick Assist. Proizvođač Windowsa prati grupu cyber kriminalaca koja stoji iza zloupotrebe Quick Assist-a za implementaciju Black Basta pod imenom Storm-1811 .
Rapid7 je takođe otkrio pokušaje ekipe ransomwarea da iskoristi OpenSSH klijent da uspostavi obrnutu ljusku, kao i da pošalje maliciozni QR kod korisniku žrtve putem ćaskanja kako bi vjerovatno ukrao njihove krendicijale pod izgovorom dodavanja pouzdanog mobilnog telefona uređaj.
Međutim, kompanija za cyber sigurnost ReliaQuest, koja je takođe izvijestila o istoj kampanji, teoretizirala je da se QR kodovi koriste za usmjeravanje korisnika na dalju malicoznu infrastrukturu.
Daljinski pristup olakšan instalacijom AnyDeska (ili njegovog ekvivalenta) se zatim koristi za isporuku dodatnih korisnih podataka kompromitovanom hostu, uključujući prilagođeni program prikupljanja krendicijala nakon čega slijedi izvršavanje Zbota (aka ZLoader) ili DarkGatea, koji može poslužiti kao kapija za naknadne napade.
“Čini se da je opšti cilj nakon početnog pristupa isti: brzo nabrojati okruženje i izbaciti krendicijale korisnika”, rekao je istraživač sigurnosti Rapid7 Tyler McGraw.
“Kada je to moguće, operateri će i dalje pokušavati ukrasti sve dostupne VPN konfiguracijske datoteke. Uz korisničke krendicijale, organizacione VPN informacije i potencijalno MFA zaobilaznicu, možda će biti moguće da se autentifikuju direktno na ciljno okruženje.”
Black Basta je nastala kao autonomna grupa iz pepela Contija nakon gašenja ovo drugo 2022. godine, u početku se oslanjajući na QakBota da se infiltrira u mete, prije nego što se diverzificirao u tehnike društvenog inženjeringa. Haker, koji se takođe naziva UNC4393 , od tada je koristio različite porodice malicoznog softvera po narudžbi kako bi ostvario svoje ciljeve –
- KNOTWRAP – dropper samo za memoriju napisan u C/C++ koji može izvršiti dodatni korisni teret u memoriji
- KNOTROCK – uslužni program zasnovan na .NET-u koji se koristi za izvršavanje ransomware-a
- DAWNCRY – uređaj za ispuštanje samo u memoriju koji dešifrira ugrađeni resurs u memoriju pomoću tvrdo kodiranog ključa
- PORTYARD – tuneler koji uspostavlja vezu sa tvrdo kodiranim serverom za komandu i kontrolu (C2) koristeći prilagođeni binarni protokol preko TCP-a
- COGSCAN .NET – izviđački sklop koji se koristi za prikupljanje liste hostova dostupnih na mreži
“Evolucija Black Baste u širenju zlonamjernog softvera pokazuje neobičan pomak od pristupa koji se isključivo oslanja na botnet na hibridni model koji integrira društveni inženjering,” rekla je Yelisey Bohuslavskiy iz RedSense-a .
Otkrivanje dolazi kada je Check Point detaljno analizirao ažuriranu Rust varijantu Akira ransomwarea, naglašavajući oslanjanje autora malicioznog softvera na gotov šablonski kod povezan s bibliotekama i sandbox trećih strana kao što su indicatif, rust-crypto i seahorse.
Ransomware napadi su takođe koristili varijantu Mimic ransomwarea pod nazivom Elpaco , pri čemu Rhysida infekcije takođe koriste CleanUpLoader za pomoć u eksfiltraciji i postojanosti podataka. Malicozni softver se često maskira kao instalater popularnog softvera, kao što su Microsoft Teams i Google Chrome.
“Kreiranjem typosquatted domena nalik popularnim web lokacijama za preuzimanje softvera, Rhysida vara korisnike da preuzmu zaražene fajlove”, rekao je Recorded Future . “Ova tehnika je posebno efikasna kada je u kombinaciji sa SEO trovanjem, u kojem su ovi domeni rangirani više u rezultatima pretraživača, zbog čega se pojavljuju kao legitimni izvori preuzimanja.”
Izvor:The Hacker News
