تکامل بدافزار Black Basta با استفاده از بمباران ایمیل، کدهای QR و مهندسی اجتماعی

گروه‌های مرتبط با بدافزار Black Basta اخیراً تغییراتی در تاکتیک های مهندسی اجتماعی خود اعمال کرده‌اند. از ابتدای اکتبر 2024، این گروه‌ها اقدام به توزیع مجموعه ای متفاوت از بار های مخرب (payloads) مانند Zbot و DarkGate کرده‌اند.

طبق گزارش Rapid7، “کاربران در محیط هدف تحت حملات بمباران ایمیل قرار خواهند گرفت که اغلب از طریق ثبت‌نام ایمیل کاربران در فهرست های پستی متعدد به‌طور همزمان انجام می‌شود.” پس از این بمباران ایمیلی، مهاجمان به کاربران آسیب‌دیده دسترسی پیدا کرده و با آن ها ارتباط برقرار می‌کنند.

تماس اولیه با هدف ها از طریق  Microsoft Teams

همانطور که در ماه آگوست مشاهده شد، مهاجمان برای برقراری تماس اولیه با هدف های احتمالی از Microsoft Teams استفاده می‌کنند و خود را به عنوان پرسنل پشتیبانی یا اعضای تیم IT سازمان معرفی می‌کنند. در برخی موارد، آن‌ها حتی خود را به‌عنوان اعضای تیم IT در سازمان هدف معرفی کرده‌اند.

نصب نرم افزار های دسترسی از راه دور

کاربرانی که در نهایت با مهاجمان تعامل می‌کنند، تشویق به نصب نرم افزار های دسترسی از راه دور مشروع مانند AnyDesk، ScreenConnect، TeamViewer و Quick Assist مایکروسافت می‌شوند. این نرم افزار ها به مهاجمان اجازه می‌دهند تا دسترسی کامل به سیستم قربانی پیدا کنند. مایکروسافت گروه مجرمان سایبری پشت سوءاستفاده از Quick Assist برای استقرار Black Basta را با نام Storm-1811 پیگیری می‌کند.

استفاده از کد های QR مخرب برای سرقت اطلاعات

گروه‌های مهاجم همچنین از کد های QR مخرب برای سرقت اعتبارنامه‌های کاربران استفاده می‌کنند. این کدها ممکن است کاربران را به سمت زیرساخت‌های مخرب هدایت کنند.

طبق گزارش شرکت امنیت سایبری ReliaQuest، که همچنین در مورد همین کمپین گزارش داده است، گمان می‌رود که کد های QR برای هدایت کاربران به زیرساخت‌های مخرب بیشتر استفاده می‌شوند.

تحویل بار های مخرب اضافی به سیستم های آسیب دیده

دسترسی از راه دور که از طریق نصب AnyDesk (یا معادل آن) فراهم می‌شود، سپس برای تحویل بارهای مخرب اضافی به سیستم‌های آسیب‌دیده استفاده می‌شود. این بارها شامل برنامه‌هایی برای جمع‌آوری اعتبارنامه‌ها و اجرای Zbot  (که به‌عنوان Zloader نیز شناخته می‌شود) یا DarkGate هستند. این بدافزار می‌تواند به‌عنوان دروازه‌ای برای حملات بعدی عمل کند.

Tyler McGraw، محقق امنیتی Rapid7 گفت: “هدف کلی پس از دسترسی اولیه به نظر می‌رسد یکسان باشد: شناسایی سریع محیط و تخلیه اعتبارنامه‌های کاربران.”

سرقت فایل های پیکربندی  VPN

در صورت امکان، اپراتورها همچنین تلاش خواهند کرد هر فایل پیکربندی VPN موجود را سرقت کنند. با داشتن اعتبارنامه‌های کاربر، اطلاعات VPN سازمان و احتمالاً دور زدن MFA، ممکن است قادر به احراز هویت مستقیم به محیط هدف باشند.

تاریخچه و تکامل  Black Basta

Black Basta به‌عنوان یک گروه خودمختار از Conti پس از تعطیلی آن در سال 2022 ظهور کرد. این گروه ابتدا از QakBot برای نفوذ به اهداف استفاده می‌کرد و سپس به تکنیک‌های مهندسی اجتماعی روی آورد. این تهدیدگر، که به‌عنوان UNC4393 نیز شناخته می‌شود، از آن زمان خانواده‌های مختلف بدافزار سفارشی را برای انجام اهداف خود به کار گرفته است:

• KNOTWRAP: یک دراپر حافظه‌ای نوشته شده به زبان C/C++ که می‌تواند بار اضافی را در حافظه اجرا کند.
• KNOTROCK: یک ابزار مبتنی بر .NET که برای اجرای بدافزار استفاده می‌شود.
• DAWNCRY: یک دراپر حافظه‌ای که یک منبع جاسازی‌شده را با استفاده از یک کلید سخت‌کد شده در حافظه رمزگشایی می‌کند.
• PORTYARD: یک تونل‌کننده که ارتباطی با سرور فرمان و کنترل (C2) از طریق پروتکل باینری سفارشی روی TCP برقرار می‌کند.
• COGSCAN: یک اسمبلی شناسایی مبتنی بر .NET که برای جمع آوری فهرستی از میزبان‌های موجود در شبکه استفاده می‌شود.

تکامل Black Basta در توزیع بد افزار

Yelisey Bohuslavskiy از RedSense بیان کرد: “تکامل Black Basta در توزیع بدافزار نشان‌دهنده تغییر از یک رویکرد صرفاً وابسته به بات‌نت‌ها به یک مدل هیبریدی است که مهندسی اجتماعی را ادغام می‌کند.”

تحلیل دیگر بد افزار ها و تهدیدات مشابه

این گزارش همزمان با تجزیه و تحلیل Check Point از یک نسخه به‌روزرسانی شده از بد افزار Rust متعلق به Akira ransomware منتشر شد که به وابستگی نویسندگان بدافزار به کدهای آماده‌ای که از کتابخانه‌ها و ک crates های شخص ثالث استفاده می‌کنند اشاره دارد. حملات مشابهی توسط گروه‌های مختلف با استفاده از تکنیک‌های SEO poisoning و typosquatting مشاهده شده است.

Recorded Future گفت: “با ایجاد دامنه‌های typosquatted که شبیه به سایت‌های دانلود نرم افزار های محبوب هستند، Rhysida کاربران را فریب می‌دهد تا فایل های آلوده را دانلود کنند.” این تکنیک زمانی که با مسمومیت SEO همراه باشد، بسیار مؤثر است، به‌طوری‌که این دامنه‌ها در نتایج جستجو رتبه بالاتری پیدا می‌کنند و به نظر می‌رسد که منابع دانلود قانونی باشند.

کلام آخر

در دنیای سایبری امروز، حملات بد افزاری مانند Black Basta و سایر تهدیدات مشابه، به‌طور فزاینده‌ای پیچیده و متنوع می‌شوند. این حملات با استفاده از تکنیک های مهندسی اجتماعی و روش‌های نوین برای فریب کاربران، قادرند به راحتی به اطلاعات حساس دسترسی پیدا کنند. برای مقابله با این تهدیدات، داشتن آگاهی از روش های حملات و استفاده از ابزار های امنیتی پیشرفته امری ضروری است.

یکی از منابع معتبر برای اطلاعات امنیتی و راهکارهای مقابله با تهدیدات سایبری، سایت کوشافناوران مبتکر است. سایت ما به‌طور مداوم آخرین اخبار و تحلیل‌ها در مورد حملات سایبری و راه‌های مقابله با آن‌ها را منتشر می‌کند و می‌تواند به کاربران کمک کند تا از حملات سایبری جلوگیری کنند و امنیت خود را در فضای دیجیتال حفظ کنند.