Sự phát triển trong các phương thức tấn công mới của mã độc tống tiền Black Basta
Những nhóm tin tặc có liên quan tới mã độc tống tiền Black Basta vừa qua được phát hiện đã thay đổi các chiến thuật trong tấn công bằng hình thức social engineering, phân bổ một lượng các payload độc hại như Zbot và DarkGate kể từ đầu tháng 10/2024.
Trong một bài viết trên Rapid7 vừa qua đã chỉ ra, một lượng lớn người dùng trong các môi trường mục tiêu đã trở thành nạn nhân của các cuộc đánh bom email từ tin tặc, đồng thời những nạn nhân cũng nhận được liên hệ từ tin tặc sau các cuộc tấn công. Điều này giống với phương thức chúng thực hiện được phát hiện vào hồi tháng 08/2024 khi những tin tặc này có xu hướng liên hệ ban đầu với các mục tiêu tiềm năng thông qua ứng dụng Microsoft Teams, giả danh là nhân viên hỗ trợ kỹ thuật hoặc nhân viên IT của tổ chức và cố gắng thuyết phục người dùng cài đặt các phần mềm cho phép truy cập từ xa hợp pháp như AnyDesk, TeamViewer,…
Cũng theo Rapid7, các nhóm tin tặc này đồng thời đã có những cố gắng sử dụng OpenSSH để thiết lập một reverse shell, cũng như gửi các mã QR độc hại đến người dùng thông qua các liên lạc nhằm đánh cắp thông tin xác thực dưới vỏ bọc thêm vào các yếu tố hợp lệ trên thiết bị.
Một báo cáo khác của công ty an ninh mạng ReliaQuest cho rằng, sau khi người dùng cài đặt các phần mềm truy cập từ xa hợp lệ kể trên, kẻ tấn công có thể sử dụng quyền truy cập từ xa để triển khai thêm các payload độc hại lên thiết bị đã bị xâm nhập, bao gồm chương trình thu thập thông tin xác thực đã tuỳ chỉnh, đánh cắp thông tin cấu hình VPN có sẵn trên hệ thống, thực thi Zbot hoặc DarkGate và có thể hoạt động như một backdoor phục vụ cho các cuộc tấn công tiếp theo.
Black Basta xuất hiện từ tàn dư của Conti sau khi nhóm tin tặc này ngưng hoạt động vào năm 2022. Ban đầu, chúng dựa vào QakBot để xâm nhập mục tiêu trước khi chuyển sang sử dụng các kỹ thuật social engineering và sử dụng nhiều loại phần mềm độc hại tùy chỉnh khác nhau để đạt được mục tiêu, bao gồm:
KNOTWRAP: Một trình dropper chạy hoàn toàn trong bộ nhớ, được viết bằng C/C++, có khả năng thực thi payload bổ sung trong bộ nhớ.
KNOTROCK: Một tiện ích .NET được sử dụng để triển khai ransomware.
DAWNCRY: Một trình dropper chạy trong bộ nhớ, giải mã tài nguyên nhúng bằng khóa mã hóa được lập trình sẵn.
PORTYARD: Một công cụ tạo đường hầm, thiết lập kết nối với máy chủ điều khiển và chỉ huy (C2) bằng giao thức nhị phân tùy chỉnh qua TCP.
COGSCAN: Một công cụ trinh sát .NET được sử dụng để thu thập danh sách các máy chủ trên mạng.
Các nhà nghiên cứu bảo mật khuyến nghị người dùng nên cảnh giác cao độ trước các email lạ xuất hiện trong hòm thư cá nhân hay những liên hệ từ những người chưa rõ danh dính trên các phương tiện liên lạc đại chúng. Ngoài ra, mỗi người dùng cũng nên tự nâng cao nhận thức cá nhân trước các mối nguy hiểm tiềm tàng có trên không gian mạng để tránh trở thành nạn nhân của các sự cố liên quan tới an toàn thông tin trong tương lai.
