摘要: 对Black Basta勒索软件操作所使用的工具进行的一项新分析发现,威胁行为者与财务信息7 (aka Carbanak)组。 网络安全公司SentinelOne称,这种联系“可能表明黑巴斯塔和FIN7保持着特殊关系,或者有一个或多个人属于这两个组织所说的 ...
对Black Basta勒索软件操作所使用的工具进行的一项新分析发现,威胁行为者与财务信息7 (aka Carbanak)组。
网络安全公司SentinelOne称,这种联系“可能表明黑巴斯塔和FIN7保持着特殊关系,或者有一个或多个人属于这两个组织所说的 这篇技术文章与The Hacker News分享。
黑巴斯塔,浮现的 截至2022年9月,已有超过90家组织被勒索,这表明对手组织严密,资源充足。
根据哨兵一的说法,使该组织脱颖而出的一个值得注意的方面是,没有迹象表明其运营商试图招募分支机构或在暗网论坛或犯罪软件市场上将恶意软件作为RaaS进行广告宣传。
这就增加了Black Basta开发者要么从链中删除附属机构并通过自己的定制工具集部署勒索软件的可能性,要么与一组密切的附属机构合作,而不需要营销他们的软件。
众所周知,涉及Black Basta的攻击链利用QBot(又名Qakbot),QBot通过包含基于宏的Microsoft Office文档的网络钓鱼电子邮件进行传送,而较新的感染则利用ISO映像和LNK丢弃程序绕过Microsoft的决定阻止宏 默认情况下,从Web下载的文件中。
一旦Qakbot在目标环境中获得持久的立足点,Black Basta操作员就会进入现场,通过后门连接受害者进行侦察,随后利用已知漏洞(例如,零登录,打印噩梦的无包)以提升权限。
在此阶段还使用了后门,如系统BC (aka Coroxy)进行数据泄露和下载其他恶意模块,然后再进行横向移动,并采取措施通过禁用已安装的安全解决方案来削弱防御。
这还包括一个定制的EDR规避工具,专门用于黑色Basta事件,并嵌入了一个名为BIRDDOG的后门,也称为袜子机器人 并且在以前被认为是FIN7集团的几次攻击中使用过。
的FIN7网络犯罪集团自2012年以来一直活跃,在针对餐厅、赌博和酒店业的销售点(PoS)系统发起大规模恶意软件活动以进行金融欺诈方面有着良好的记录。
然而,在过去两年中,该组织转而使用勒索软件来非法创收,首先是黑暗面 然后作为黑物质 和黑猫,更不用说建立假的幌子公司 招募不知情的渗透测试人员来发动勒索软件攻击。
“在这一点上,很可能FIN7或其分支机构开始从头开始编写工具,以便将他们的新操作与旧操作分离,”研究人员安东尼奥·科科马齐和安东尼奥·皮罗齐说。“很可能他们削弱受害者防御的工具背后的开发者是,或曾经是FIN7的开发者。”
这一发现是在这位黑人巴斯塔演员观察到的 使用Qakbot特洛伊木马程序部署Cobalt Strike和BruteRatelC4框架作为最近攻击的第二阶段负载。
“犯罪软件生态系统在不断扩展、变化和进化,”研究人员总结道,“FIN7(或Carbanak)经常被认为是犯罪领域的创新者,它将针对银行和PoS系统的攻击提升到了新的高度,超越了其同行的计划。”
美国金融犯罪执法网络(FinCEN)也披露了这一消息。已报告 针对国内实体的勒索软件攻击从2020年的487起激增至2021年的1,489起,造成的总损失为12亿美元,比前一年的4.16亿美元增加了188%。
稿源:TheHackerNews.com、中文化:YouXia.ORG
