HackerNews 编译,转载请注明出处:
部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect(BC)模块来维持对受感染主机的持续控制,这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。
“一旦渗透,它就授予攻击者广泛的远程控制功能,允许他们在受感染的机器上执行命令,”Trend Micro 在周一的分析中表示,“这使他们能够窃取敏感数据,如登录凭据、财务信息和个人文件。”
值得注意的是,BC 模块的细节,由于其与 QakBot 加载程序的重叠,被网络安全公司跟踪为 QBACKCONNECT,首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档,后者将该集群命名为 STAC5777。
在过去的 2024 年,Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist,这些威胁行为者以 IT 支持或帮助台人员的身份出现。
访问然后作为渠道,通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序(“winhttp.dll”),这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。
CACTUS 勒索软件
Trend Micro 观察到一次 CACTUS 勒索软件攻击,该攻击使用了相同的植入 BackConnect 的方式,但还超越了这一点,进行了各种后期利用操作,如横向移动和数据泄露。然而,加密受害者网络的努力以失败告终。
这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要,这些记录揭示了网络犯罪团伙的内部运作和组织结构。
具体来说,已经发现该团伙的成员共享了有效的凭据,其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议(RDP)门户和 VPN 端点。
“威胁行为者正在使用这些战术、技术和程序(TTP)—— 电话钓鱼、Quick Assist 作为远程工具,以及 BackConnect—— 来部署 Black Basta 勒索软件,”Trend Micro 表示。
“具体来说,有证据表明,成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序(TTP)的分析得出的。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
