安全客 03月04日
Black Basta 和 Cactus 勒索软件组织将 BackConnect 恶意软件武器化
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Black Basta和Cactus勒索软件组织正通过部署BackConnect恶意软件来加强其攻击手段,该恶意软件与已覆灭的QakBot加载器有关。这些组织利用社会工程学、滥用合法工具和云基础设施,将恶意活动融入企业日常流程。攻击者通过仿冒Microsoft Teams和滥用Quick Assist等手段获取初始访问权限,一旦进入系统,BackConnect恶意软件便建立持久连接,窃取数据并部署勒索软件。Black Basta主要攻击北美和欧洲的制造业、金融咨询和房地产行业。Cactus勒索软件也采取类似策略,显示两组织间可能存在人员流动。

⚠️Black Basta和Cactus勒索软件组织利用BackConnect恶意软件(QBACKCONNECT)巩固在被攻陷机器上的立足点,该恶意软件与之前的QakBot加载器有关。

🎣攻击者通过多种社会工程技术获取企业环境的访问权限,包括仿冒Microsoft Teams和滥用Quick Assist等工具,诱使用户授予访问权限。

🔒BackConnect恶意软件一旦进入系统,便建立持久的远程连接,使攻击者能够执行命令、窃取敏感数据(如登录凭证、财务信息和个人文件),并进一步部署勒索软件。

🌍Black Basta的攻击主要集中在北美和欧洲,其中制造业是受攻击最多的行业。Cactus勒索软件运营者也采用了类似的TTPs,表明两个组织之间可能存在交叉影响。

QBACKCONNECT

Black Basta和Cactus勒索软件组织已扩充其攻击手段,如今利用 BackConnect 恶意软件巩固在被攻陷机器上的立足点。根据Trend Micro托管式扩展检测与响应(Managed XDR)及事件响应(IR)团队近期的一份报告,已观察到这些组织在部署 QBACKCONNECT,这是一种与臭名昭著的 QakBot 加载器恶意软件相关的变种,而 QakBot 加载器恶意软件在 2023 年的 Operation Duckhunt 打击行动中被捣毁。

Black Basta和Cactus勒索软件组织综合运用社会工程手段、滥用合法工具以及基于云的基础设施,将恶意活动融入企业正常工作流程。

攻击者采用多种社会工程技术来获取企业环境的访问权限,包括:

1.Microsoft Teams仿冒 —— 攻击者假扮成信息技术人员,诱使用户授予访问权限。

2.Quick Assist利用 —— 滥用 Windows 内置工具对受害者机器建立远程控制。

3.OneDriveStandaloneUpdater.exe 旁加载 —— 攻击者利用微软 OneDrive 的更新过程执行恶意动态链接库(DLL)并安装 BackConnect 恶意软件。

报告指出:“攻击者利用社会工程手段诱使受害者给予他们初始访问权限。攻击者滥用微软团队进行仿冒和权限提升。”

一旦进入系统,BackConnect 恶意软件就会建立持久的远程连接,使攻击者能够:

1.执行命令并窃取敏感数据。

2.盗取登录凭证、财务信息和个人文件。

3.进一步部署勒索软件。

Trend Micro表示:“这种新的 BackConnect 恶意软件(QBACKCONNECT)存在一些迹象,表明它与 QakBot 有关联,在 QakBot 被捣毁之前,它是Black Basta主要使用的初始访问方式。”

Trend Micro的威胁情报数据显示,自 2024 年 10 月以来,Black Basta在全球范围内发动攻击,主要集中在北美和欧洲:

1.北美:21 起违规事件(美国 17 起,加拿大 5 起)

2.欧洲:18 起违规事件(英国 5 起)
制造业是受攻击最多的行业,其次是金融咨询和房地产行业。

报告写道:“据报道,2023 年,Black Basta背后的组织从受害者那里勒索了价值 1.07 亿美元的比特币。”

Trend Micro研究人员还观察到,Cactus勒索软件运营者采用了类似的战术、技术和程序(TTPs),这表明两个组织之间可能存在交叉影响。

报告解释称:“从两个组织 TTPs 的重叠情况来看,Black Basta的一些关键成员已离开该组织,加入了Cactus勒索软件行动。”

值得注意的是,观察到Cactus运营者的行为包括:

1.使用邮件轰炸和微软团队仿冒来欺骗用户。

2.部署 WinSCP 以便在受感染系统间进行文件传输。

3.通过禁用安全功能和部署 SystemBC 代理恶意软件攻陷 ESXi 主机。

Black Basta和Cactus勒索软件组织不断完善其策略,利用 BackConnect 恶意软件提高其运营韧性。随着勒索软件行为者利用合法企业工具绕过传统防御,主动监测和强大的安全框架仍然是最有效的应对措施。

 

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Black Basta Cactus勒索软件 BackConnect恶意软件 勒索软件 网络安全
相关文章