勒索软件团体总是给受害者制造只有他们才能解决的问题。 Black Basta 正在将这一核心理念带向创造性的新方向。
一项新的 Black Basta 活动通过大量垃圾邮件和虚假客户服务代表诱骗受害者下载恶意软件,让受害者屈服。
这一消息是在联邦调查局、网络安全和基础设施安全局 (CISA)、卫生与公共服务部 (HHS) 以及多州信息共享和分析中心 (MS-ISAC)发布新的联合网络安全咨询的背景下发布的。警告 Black Basta 对关键基础设施的大量攻击。政府表示,勒索软件即服务 (RaaS) 操作通常使用鱼叉式网络钓鱼和软件漏洞来获得对敏感和高价值组织的初始访问权限。
但现在, Black Basta 行动的至少一个方面正在采取新的方法。 Rapid7 的研究人员观察到,它向受害者发送了大量垃圾邮件,然后才打电话给他们提供帮助,而不是这种尖锐的、有针对性的违规行为。当受害者接受帮助时,入侵就开始了。
Rapid7 事件响应服务高级经理罗伯特·纳普 (Robert Knapp) 表示,到目前为止,这些受害者遍及制造、建筑、食品和饮料以及运输等行业,并补充说,“鉴于受影响的组织众多,这些攻击似乎是机会主义多于目标主义。”
Black Basta最新、最烦人的把戏
自 2022 年 4 月首次发现以来,Black Basta 已损害了广泛的组织,其中包括美国定义的 16 个关键基础设施部门中的十几个组织。附属机构总共攻击了全球 500 多个组织,其中大多数位于美国、欧洲和澳大利亚。
从历史上看,其操作方式中最不有趣的方面是其获取系统初始访问权限的方式。正如联合警报中提到的,鱼叉式网络钓鱼是其首选,不过,自 2 月份以来,附属机构也一直在利用 10.0“严重”级ConnectWise ScreenConnect 漏洞 CVE-2024-1709来进行这项工作。 Rapid7 研究人员表示,上述偏离脚本的情况自 4 月份以来就已发生。
最新活动中的攻击首先是向目标环境中的一组受害者发送一波电子邮件(足以压垮基本的垃圾邮件防护)。许多电子邮件本身都是合法的,其中大部分包含属于真实、诚实组织的时事通讯的注册通知。
当目标感到恼火和困惑时,攻击者就会开始打电话。他们一一冒充目标 IT 员工,为他们的问题提供帮助,这是经典技术支持骗局的一种变体。他们说,要做到这一点,受害者需要下载远程支持工具,可以是 AnyDesk 远程监控和管理 (RMM) 平台,也可以是 Windows 的本机 Quick Assist 实用程序。
如果目标不遵守,攻击者只需结束通话并转向下一个受害者。
如果目标确实运行 AnyDesk 或 Quick Assist,攻击者会指示他们如何移交对其计算机的访问权限。一旦进入,攻击者就会运行一系列伪装成软件更新的批处理脚本。第一个脚本确认与攻击者的命令和控制 (C2) 基础设施的连接,然后下载包含 OpenSSH 的 ZIP 存档,从而能够执行远程命令。
Black Basta 脚本的下一个恼人技巧是在 Windows 注册表中创建运行键条目。这些条目指向其他批处理脚本,这些脚本建立要在运行时执行的反向 shell。这样就形成了一个无限循环,只要受害者机器重新启动,攻击者就可以获得命令和控制 (C2) 的 shell。
该怎么办
尽管研究人员确实观察到攻击者收集了一些凭证,但值得注意的是,他们没有发现任何大规模数据泄露或勒索的情况。这些步骤可能还没有到来。
Rapid7 建议组织盘点他们使用的 RMM 解决方案,并利用 AppLocker 或 Microsoft Defender 应用程序控制等“白名单”工具来阻止他们不使用的任何其他解决方案。为了提高安全性,组织还可以阻止与此类不允许的 RMM 关联的域。
如果所有其他方法都失败了,Knapp 说:“如果组织无法彻底阻止此活动,建议的方法是认真监控和响应程序。组织可以监控 AnyDesk 的安装和执行,将该活动与其已知的方法进行比较。软件部署可能源自预期用户帐户的预期部署系统,并调查任何超出基线的行为。”
发表评论
您还未登录,请先登录。
登录