Black Basta和Cactus勒索软件组织将BackConnect恶意软件纳入武器库
本文探讨了Black Basta和Cactus勒索软件组织如何利用BackConnect恶意软件强化对受感染系统的控制能力。该恶意软件使攻击者能远程执行命令、窃取凭证及敏感文件,并维持持久访问。
关键发现
- 攻击手法:通过社交工程(如冒充IT支持)滥用Microsoft Teams和Quick Assist工具获取初始访问权限
- 技术滥用:利用OneDriveStandaloneUpdater.exe侧加载恶意DLL(如winhttp.dll),解密隐藏在settingsbackup.dat中的后门程序
- 基础设施:使用商业云存储服务分发恶意.bpx文件,并通过C&C服务器(如38.180.25[.]3)建立通信
- 横向移动:通过SMB/WinRM横向扩散,在ESXi主机部署SystemBC代理恶意软件(socks.out)
- 数据泄露:2025年2月泄露的Black Basta内部聊天记录显示,该组织将Trend Micro视为主要防御障碍
攻击链分析
Black Basta攻击流程
- 初始访问:通过邮件轰炸后冒充IT支持诱导用户启用Quick Assist
- 载荷投递:下载.kb****.bpx文件合并为pack.zip,释放恶意CAB文件
- 持久化:修改注册表
HKCU\SOFTWARE\TitanPlus存储C&C地址 - 数据外泄:使用WinSCP连接可疑域名pumpkinrab[.]com传输数据
Cactus攻击演进
- 复用相同TTPs,但新增对ESXi主机的攻击:
- 禁用ExecInstalledOnly限制
- 关闭防火墙执行socks.out
- 与Black Basta共享C&C基础设施(如45.8.157[.]199)
威胁情报
- 地域影响:北美(21起)和欧洲(18起)最严重,美国占17起
- 行业分布:制造业(11起)、房地产/建筑业(9起)、金融服务业(6起)
- 经济损失:Black Basta在2023年通过比特币勒索获利1.07亿美元
防御建议
- 限制远程工具:严格管控Quick Assist等工具的使用权限
- 员工培训:加强社交工程识别能力,特别是Teams钓鱼
- 系统加固:
- 监控OneDrive异常行为
- 启用Microsoft Teams安全最佳实践
- 定期扫描注册表中TitanPlus相关键值
威胁指标(IoC)
| 类型 | 示例 |
|---|---|
| C&C服务器 | 38.180.25[.]3 |
| 恶意文件 | winhttp.dll (SHA256: b79c8b7f…) |
| 可疑域名 | pumpkinrab[.]com |
通过Trend Vision One平台可检测相关攻击活动,其AI引擎整合了全球2.5亿个传感器的威胁情报。