Siyah Basta ve Cactus fidye yazılımı ailelerini konuşlandıran tehdit aktörlerinin, daha önce siyah Basta ile ilişkili bağlı kuruluşların kaktüslere geçmiş olabileceği bir işaret olan enfekte olmuş konakçılar üzerinde kalıcı kontrolü korumak için aynı backconnect (BC) modülüne güvendiği bulunmuştur.
“Sızıldıktan sonra, saldırganlara çok çeşitli uzaktan kumanda özellikleri verir, bu da enfekte makinede komutlar yürütmelerine izin verir,” Trend Micro söz konusu Pazartesi analizinde. “Bu, giriş bilgileri, finansal bilgiler ve kişisel dosyalar gibi hassas verileri çalmalarını sağlar.”
Siber güvenlik şirketinin Qakbot yükleyici ile örtüşmeler nedeniyle QbackConnect olarak izlediği BC modülünün detaylarının ilk olarak Ocak 2025’in sonlarında hem Walmart’ın siber istihbarat ekibi hem de Sophos tarafından belgelendiğini belirtmek gerekir.
Geçtiğimiz yıl, Black Basta saldırı zincirleri, BT desteği veya yardım masası personelinin kisvesi altında tehdit oyuncusu tarafından temasa geçtikten sonra hızlı yardım kurmaya aday hedefleri kandırmak için e -posta bombalama taktiklerini giderek daha fazla kullandı.
Daha sonra erişim, Microsoft OneDrive’ı güncellemekten sorumlu meşru bir yürütülebilir dosyası olan OneDrivestanDaloneupdater.exe kullanılarak ReedBed adlı kötü amaçlı bir DLL yükleyicisini (“winhttp.dll”) kenar yüklemek için bir kanal görevi görür. Yükleyici nihayetinde BC modülünü şifresini çözer ve çalıştırır.
Trend Micro, BackConnect’i dağıtmak için aynı modus operandi kullanan bir kaktüs fidye yazılımı saldırısı gözlemlediğini, ancak yanal hareket ve veri eksfiltrasyonu gibi çeşitli sömürü sonrası eylemler gerçekleştirmek için bunun ötesine geçtiğini söyledi. Ancak, kurbanın ağını şifreleme çabaları başarısızlıkla sonuçlandı.
Taktiklerin yakınsaması, e-suç çetesini çıplak bırakan son siyah Basta sohbet kütük sızıntıları ışığında özel bir önem kazanır iç işler ve organizasyon yapısı.
Özellikle, ortaya çıktı Finansal olarak motive olmuş mürettebat üyeleri, bazıları bilgi stealer günlüklerinden kaynaklanan geçerli kimlik bilgilerini paylaştı. Diğer önemli başlangıç erişim noktalarından bazıları uzak masaüstü protokol (RDP) portalları ve VPN uç noktalarıdır.
Trend Micro, “Tehdit aktörleri bu taktikleri, teknikleri ve prosedürleri (TTP) – vishing, uzak bir araç olarak hızlı yardımcı ve backconnect – siyah Basta fidye yazılımlarını dağıtmak için kullanıyor.” Dedi.
“Özellikle, üyelerin siyah Basta fidye yazılımı grubundan kaktüs fidye yazılımı grubuna geçtiklerini gösteren kanıtlar var. Bu sonuç, kaktüs grubu tarafından kullanılan benzer taktikler, teknikler ve prosedürlerin (TTP’ler) analizinden alınmıştır.”
