خانه » بررسی تاکتیک‌های تکاملی باج افزار Black Basta در سال ۲۰۲۴

بررسی تاکتیک‌های تکاملی باج افزار Black Basta در سال ۲۰۲۴

توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - باج افزار Black Basta - تکنیک‌های مهندسی اجتماعی -بمباران صندوق ورودی ایمیل - QR

گروه باج افزار Black Basta روند تکاملی قابل توجهی را به ویژه پس از اختلال در عملکرد بدافزار QBot در تاکتیک‌های خود اتخاذ کرده است. هکرهای این گروه باج افزاری از اوایل اکتبر ۲۰۲۴ تاکتیک‌های مهندسی اجتماعی خود را تغییر داده‌اند و مجموعه‌ای متفاوت از پیلودها مانند Zbot و DarkGate را توزیع می‌کنند!

فعالیت Black Basta از آوریل ۲۰۲۲ آغاز شد و به سرعت به دلیل حملات پیچیده به بخش‌های مختلف از جمله مراقبت‌های بهداشتی، مالی و تولیدی شهرت پیدا کرد. پیشرفت‌های اخیر این گروه نشان‌دهنده تغییر تاکتیک‌های آن به سمت استراتژی‌های تهاجمی‌تر و نوآورانه‌تر است که شامل بمباران صندوق ورودی ایمیل قربانیان توسط هرزنامه‌ها، کدهای QR و تکنیک‌های مهندسی اجتماعی پیشرفته‌تر می‌باشد.

 

تاکتیک‌های در حال تکامل گروه باج افزار  Black Basta

۱. بمباران ایمیل: گروه Black Basta تاکتیکی را اتخاذ کرده است که صندوق ورودی ایمیل کاربران را توسط ایمیل‌های هرزنامه پر می‌کند. این حجم بسیار زیاد از ایمیل‌های دریافتی، صندوق ورودی ایمیل را تقریباً غیرقابل استفاده خواهد کرد.

هکرها پس از این مرحله، با کاربران مورد نظر تماس حاصل خواهند کرد و به او پیشنهاد حل این مشکل به وجود آمده را خواهند داد. با قبول پیشنهاد از سوی قربانی، هکر خواهد توانست به سیستم او از راه دور دسترسی پیدا کند و یک بدافزار را بر روی دستگاه قربانی نصب کند.

نمونه این واقعه در ماه آگوست مشاهده شد. مهاجمان با اهداف احتمالی در Microsoft Teams تماس برقرار کردند و وانمود کردند که پرسنل پشتیبانی یا کارکنان فناوری اطلاعات سازمان می‌باشند. آنها در برخی موارد، هویت اعضای کارکنان فناوری اطلاعات سازمان را نیز جعل کرده بودند.

در نهایت از کاربرانی که با هکرها وارد تعامل شده بودند، خواسته شده بود تا نرم افزارهای دسترسی از راه دور قانونی مانند AnyDesk، ScreenConnect، TeamViewer  و Quick Assist مایکروسافت را نصب کنند. مایکروسافت در حال ردیابی این گروه مجرم سایبری است که به دلیل سوء استفاده از Quick Assist برای استقرار Black Basta تحت نام Storm-1811 دنبال می‌شود.

۲. استفاده از کدهای QR: گروه Black Basta  همچنین شروع به استفاده از کدهای QR مخرب به عنوان ابزاری برای ارسال بدافزار کرده است. این روش به مهاجمان اجازه می‌دهد تا اقدامات امنیتی را دور بزنند و مستقیماً کاربران را به شیوه‌ای به ظاهر بی‌ضرر درگیر کنند و احتمال آلودگی به بدافزار را افزایش دهند.

نمونه‌ای از این تاکتیک به بررسی‌های Rapid7 باز می‌گردد که تلاش‌هایی را توسط این گروه باج افزاری برای ارسال یک کلاینت OpenSSH به قربانی مشاهده کرده است. این اقدام به منظور ایجاد یک Shell معکوس و همچنین ارسال کد QR مخرب به کاربر قربانی از طریق چت برای ربودن داده‌های لاگین و گواهی‌های اعتبار صورت می‌پذیرد.

با این حال، شرکت امنیت سایبری  ReliaQuest نیز با نظریه‌پردازی در خصوص روند جدید گروه  Black Bastaاعلام کرده است که کدهای QR اغلب برای هدایت کاربران به زیرساخت‌های مخرب استفاده می‌شوند.

۳. مهندسی اجتماعی: ترکیبی از بمباران ایمیل و تکنیک‌های مهندسی اجتماعی می‌تواند اثربخشی حملات این گروه را افزایش دهد.

همانطور که اشاره شد، دسترسی از راه دور به سیستم قربانی با نصب AnyDesk یا نرم افزارهای مشابه ایجاد می‌شود. پس از این مرحله، پیلودهای مخرب از جمله یک برنامه استخراج داده‌های لاگین و به دنبال آن بدافزارهای Zbot  (معروف به ZLoader) یا  DarkGate روی دستگاه قربانی مستقر و اجرا می‌شوند که می‌توانند بستر حملات بعدی را فراهم آورند.

به نظر می‌رسد هدف کلی گروه باج افزار Black Basta پس از ایجاد دسترسی، شمارش میزبان‌های شبکه و استخراج داده‌های لاگین کاربر است.

اپراتورهای بدافزار در صورت امکان سعی می‌کنند فایل‌های پیکربندی VPN موجود را بربایند. آنها با داشتن داده‌های لاگین کاربر، اطلاعات VPN سازمان و دور زدن (بای پس) مکانیزم احراز هویت چند مرحله‌ای ( MFA)، ممکن است بصورت مستقیم در سیستم هدف، احراز هویت شوند.

Black Basta در سال 2022 به عنوان یک گروه خودمختار از خاکستر گروه Conti ظاهر شد و در ابتدا برای نفوذ به اهداف خود به Qakbot متکی بود. این گروه از آن زمان تاکنون از خانواده‌های بدافزارهای مختلف برای انجام عملیات خود استفاده کرده است، از جمله:

  • KNOTWRAP، یک دراپر (dropper یا تصب کننده بدافزار) مختص حافظه که به زبان C/C++ نوشته شده است و می‌تواند پیلودهای بیشتری را در حافظه اجرا کند.
  • Knotrock ، یک ابزار مبتنی بر دات نت که برای اجرای باج افزار استفاده می‌شود.
  • Dawncry ، یک دراپر مختص حافظه است که یک منبع نهفته (embedded resource) را با یک کلید هاردکد شده در حافظه رمزگشایی می‌کند.
  • PORTYARD، یک تانل است که با استفاده از یک پروتکل باینری سفارشی از طریق TCP، با یک سرور فرماندهی و کنترل (C2) هاردکد شده ارتباط برقرار می‌کند.
  • COGSCAN، یک ابزار شناسایی مبتنی بر دات نت است که برای جمع آوری لیستی از میزبان های موجود در شبکه استفاده می‌شود. COGSCAN در واقع این قابلیت را به اپراتورهای Black Basta می‌دهد تا محیط‌های هدف خود را ترسیم کنند و استراتژی‌های نفوذ موثرتری را اتخاذ نمایند.

این گروه باج افزاری غالبا استراتژی اخاذی مضاعف را دنبال می‌کند که در آن نه تنها فایل‌ها را رمزگذاری می‌نماید، بلکه تهدید می‌کند که داده‌های ربوده شده را در صورت عدم پرداخت باج درخواستی از سوی قربانی، منتشر خواهد کرد. این تاکتیک به منظور تحت فشار قرار دادن قربانیان برای پرداخت باج می‌باشد.

Black Basta معمولا از ابزارهای پیشرفته‌ای مانند Cobalt Strike استفاده می‌کند که حرکت جانبی در شبکه قربانی را امکان پذیر می‌سازد و عملیات فرماندهی و کنترل را تسهیل می‌کند.

 

اقدامات امنیتی برای مقابله با این تهدیدات:

  • با مسدود کردن کلیه دامنه‌های خارجی یا ایجاد لیست سفید/سیاه، تماس کاربر خارجی را با Microsoft Teams محدود کنید.
  • ابزارهای مدیریت از راه دور را استانداردسازی نمایید و استفاده ابزارهای تأیید نشده را با مسدود کردن هش و دامنه‌های شناخته شده مسدود کنید.
  • به کاربران در خصوص حملات فیشینگ و تاکتیک‌های مهندسی اجتماعی آموزش دهید.
  • دسترسی به VPN را استانداردسازی کنید. ترافیک VPN نامعتبر باید مسدود گردد.

 

سخن پایانی

تکامل تاکتیک‌های Black Basta بر تهدید مداوم اپراتورهای باج‌افزار در چشم‌انداز سایبری امروز تاکید می‌کند. استفاده نوآورانه آنها از مهندسی اجتماعی، بمباران ایمیل و کدهای QR نشان می‌دهد که چگونه مجرمان سایبری به طور مداوم برای فرار از شناسایی و افزایش اثربخشی عملیاتی خود در تلاش هستند.

از این رو، سازمان‌ها می‌بایست در استراتژی‌های امنیت سایبری خود برای دفاع در برابر این تهدیدات در حال تحول هوشیار و فعال باشند. اجرای اقدامات امنیتی قوی، آموزش منظم کارمندان برای شناسایی تلاش‌های فیشینگ و به‌روزرسانی منظم برنامه‌های امنیتی، گام‌های حیاتی در کاهش خطرات مرتبط با حملات باج‌افزارهایی مانند Black Basta می‌باشند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید