Black Basta和Cactus勒索软件组织将BackConnect恶意软件纳入武器库

本文详细分析了Black Basta和Cactus勒索软件组织如何利用BackConnect恶意软件实现持久控制并窃取敏感数据,包括攻击链、技术细节和防御建议。

Black Basta和Cactus勒索软件组织将BackConnect恶意软件纳入武器库

摘要

攻击者利用社会工程学诱骗受害者提供初始访问权限。他们滥用Microsoft Teams进行冒充和权限提升,并利用Quick Assist等远程访问软件操纵用户授予未授权访问。

OneDriveStandaloneUpdater.exe(负责更新OneDrive)被滥用以侧加载恶意DLL,使攻击者能够访问内部网络。攻击者使用BACKCONNECT恶意软件持久控制受感染机器。

根据研究人员报告,这种新的BackConnect恶意软件(Trend Micro检测为QBACKCONNECT)的工件表明与QakBot(一种加载程序恶意软件)有关联,QakBot在2023年成为“Operation Duckhunt”取缔行动的目标。在取缔迫使威胁行为者寻找替代方法之前,QakBot感染是Black Basta威胁行为者使用的主要初始访问方法。

随后很快使用了WinSCP。

攻击者利用商业云存储服务托管和分发恶意文件,利用了其易用性、广泛采用以及配置错误或公开可访问的存储桶。

Trend Micro威胁情报数据显示,自2024年10月以来,大多数事件发生在北美(21起违规),其次是欧洲(18起)。美国受影响最严重,有17个组织受影响,而加拿大和英国各经历了5起违规。

Trend Micro™ Managed XDR和事件响应(IR)团队最近分析了威胁行为者部署Black Basta和Cactus勒索软件时使用相同BackConnect恶意软件以加强其在受感染机器上的立足点的事件。

BackConnect恶意软件是网络犯罪分子用来建立和维护对受感染系统持久控制的工具。一旦渗透,它授予攻击者广泛的远程控制能力,允许他们在受感染机器上执行命令。这使他们能够窃取敏感数据,如登录凭据、财务信息和个人文件。

2023年,Black Basta背后的组织据称从受害者那里勒索了1.07亿美元的比特币。根据Trend Micro威胁情报关于Black Basta勒索软件组织自2024年10月以来发动的攻击数据,大多数事件发生在北美,占21起违规,其次是欧洲18起。美国受影响最严重,有17个组织受影响,而加拿大和英国各有5起违规。就Black Basta对各行业的影响而言,制造业攻击次数最多,有11名受害者,其次是房地产和建筑业9名受害者,然后是金融服务业6名受害者。

攻击链的方法可能在技术上并不突破性,但它们如何将社会工程学与滥用合法工具和基于云的基础设施相结合,使它们能够将恶意活动混入正常的企业工作流程中。

Black Basta勒索软件攻击链

初始访问

我们的Managed XDR团队分析了一个涉及与DarkGate恶意软件使用技术类似的案例,其中用户经历了电子邮件泛滥,然后被冒充IT支持或帮助台的外部行为者联系。在这个样本案例中,外部电子邮件地址是admin_52351@brautomacao565[.]onmicrosoft[.]com。

在通话期间,用户被攻击者说服通过内置的Quick Assist工具授予他访问权限。它允许用户远程共享他们的Windows设备,启用屏幕查看、注释和完全控制以进行故障排除。微软此前发布了自己的分析,说明威胁行为者如何通过冒充IT支持来获得未授权访问。这种自去年年底观察到的策略被归因于Black Basta勒索软件。

执行

获得初始访问后,攻击者从商业云存储提供商下载了两个不同的恶意.bpx文件。报告观察到威胁行为者经常滥用商业云存储服务进行恶意软件分发,因为它们易于使用、广泛采用,以及配置错误或公开可访问的存储桶的风险。

以下是第一个案例中下载的文件:

  • C:\Users<user>\Downloads\kb052117-01.bpx
  • C:\Users<user>\Downloads\kb052123-02.bpx

根据我们的威胁情报,攻击者将两个.bpx文件连接成“pack.zip”。在这个案例中,攻击者使用了命令type kb052117-01.bpx kb052123-02.bpx > pack.zip,这将两个.bpx文件连接成一个pack.zip,其内容将使用Tar解包。bpx文件的名称因案例而异。

提取pack.zip后创建了以下文件:

  • C:\Users<user>\AppData\Local\Temp\arch1284.cab
  • C:\Users<user>\AppData\Local\Temp\arch1271.cab

文件arch1271.cab被提取以将那些提取的文件放入OneDrive文件夹: 命令:expand "C:\Users\<user>\AppData\Local\Temp\arch1271.cab" -F:* "C:\Users\<user>\AppData\Local\Microsoft\OneDrive"

提取后创建/丢弃了以下文件:

  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\winhttp.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\libssl-3-x64.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\vcruntime140.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\libcrypto-3-x64.dll

OneDriveStandaloneUpdater.exe进程后来通过cmd.exe非交互式启动,使用以下命令行指令:

CLI命令:"C:\Users\<user>\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe" -Embedding

研究表明,winhttp.dll是一个恶意加载程序,由Onedrive可执行文件侧加载。该加载程序从名为settingsbackup.dat的dat文件中解密后门,该文件也包含在pack.zip中。

pack.zip的内容:

  • libcrypto-3-x64.dll (e45b73a5f9cdf335a17aa97a25644489794af8e1)
  • libssl-3-x64.dll (9c8dea7602a99aa15f89a46c2b5d070e3ead97f9)
  • Settingsbackup.dat (11ec09ceabc9d6bb19e2b852b4240dc7e0d8422e)
  • Vcruntime140.dll (00149b7a66723e3f0310f139489fe172f818ca8e)
  • Winhttp.dll (232fdfde3c0e180ad91ebeb863bfd8d58915dd39)

更新过程后,几个关键配置文件被OneDrive Standalone Updater修改:

  • C:\Users<user>\AppData\Local\Temp.ses
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\PreSignInSettingsConfig.json
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\Update.xml

命令和控制(C&C)及安装后活动

我们观察到OneDrive Standalone Updater连接到外部IP 38.180.25[.]3,该IP被标记为危险并分类为C&C服务器。

攻击者还添加了以下注册表项以存储他们的BackConnect IP: reg add "HKCU\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "38.180.25.3A443;45.8.157.199A443;5.181.3.164A443" /f

根据Trend Micro威胁情报,上述注册表键中使用的IP与Black Basta相关,这些IP被分类为C&C服务器。

Cactus勒索软件攻击链

Trend Micro IR团队遇到了我们之前详细描述的攻击链的演变。虽然初始策略紧密镜像了该活动,但我们观察到了几种额外的技术,提供了对对手不断演变方法的进一步洞察。

攻击链和初始入侵

该活动使用了熟悉的方法:

  • 电子邮件轰炸和社会工程学:发起了电子邮件泛滥,然后通过地址admin_734@gamicalstudio[.]onmicrosoft[.]com的Microsoft Teams联系。使用先前观察到的社会工程技术,说服受害者通过Quick Assist授予远程访问权限。
  • 恶意文件下载和归档操作:下载了两个.bpx文件,然后连接成单个归档(pack.zip),提取后产生了与早期攻击中看到的类似文件:
    • C:\Users<user>\Downloads\kb153056-01.bpx
    • C:\Users<user>\Downloads\kb153064-02.bpx

提取“.cab”归档后创建了相同的文件:

  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\wscapi.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\libssl-3-x64.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\vcruntime140.dll
  • C:\Users<user>\AppData\Local\Microsoft\OneDrive\libcrypto-3-x64.dll

“HKCU\SOFTWARE\TitanPlus”也被添加为注册表以存储BACKCONNECTC2 IP地址: add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "45B8B157B199A443;5B181B3B164A443;38B180B25B3A443" 45.8.157[.]199;443;5.181.3[.]164;443;38.180.25[.]3;443

在Black Basta案例中观察到了相同的C&C基础设施,与BackConnect一起使用:

  • 45[.]8[.]157[.]199
  • 5[.]181[.]3[.]164
  • 38[.]180[.]25[.]3
  • 185[.]190[.]251[.]16
  • 207[.]90[.]238[.]52
  • 89[.]185[.]80[.]86

横向移动和勒索

在初始立足点的基础上,对手使用了高级横向移动技术来扩展他们的存在:

  • 服务器消息块(SMB)和Windows远程管理(WinRM):攻击者通过共享文件夹利用SMB,并使用WinRM远程执行命令和脚本,允许他们遍历网络。

  • ESXi主机妥协:值得注意的是,我们识别了ESXi主机的妥协。部署了一个二进制文件socks.out——被认为是SystemBC代理恶意软件。通过启用root用户的SSH会话,他们:

    • 禁用了ExecInstalledOnly设置(通常限制执行通过官方VIBs安装的二进制文件)。
    • 关闭了防火墙,从而允许未授权的二进制文件运行。

这一系列行动最终导致socks.out二进制文件在没有系统保护干扰的情况下执行。

分析进一步显示,攻击者利用WinSCP——一个开源文件传输客户端——作为其操作过程的一部分:

  • 利用WinSCP:WinSCP被用于促进在受感染环境内的文件传输。防火墙日志确认了涉及WinSCP连接到新注册的可疑域的网络活动。Pumpkinrab[.]com – 208[.]115[.]200[.]146。

对手在多个受感染主机上部署了WinSCP,表明该工具被分发以简化他们的操作。

我们的事件响应努力成功挫败了加密受害者网络的尝试。然而,事件序列清楚地表明加密是他们的预期下一步。通过电子邮件发送了勒索笔记,攻击者自称为“Cactus Group”。

Black Basta聊天日志泄露

2025年2月11日,一次重大泄露暴露了Black Basta集团的内部通信和组织结构。根据发布的信息,数据由于内部误解而被发布。该集团据称针对俄罗斯银行。泄露的归档包含在Black Basta内部聊天室中交换的消息,时间在2023年9月18日至2024年9月28日之间。

消息分析揭示了广泛的信息,如网络钓鱼模板及其目标电子邮件、加密货币地址、受害者凭据以及团伙成员信息。该信息首先由PRODAFT发布。

在审查泄露数据时,我们观察到消息表明Black Basta操作员将Trend Micro视为重大障碍,并讨论绕过它的方法。以下是他们的关键观点:

  1. Trend Micro是主要安全挑战

    • 一名行为者明确表示Trend Micro被广泛使用,必须绕过: “TrendMicro много где стоит, надо обходить” (“Trend Micro is used in many places, we need to bypass it”)。
    • 另一用户确认Trend Micro XDR特别难以规避: “мелкий не может обходить Trend Micro XDR” (“Melky can’t bypass Trend Micro XDR”)。

  2. 测试和变通方法

    • 一些集团成员讨论使用暴力技术测试Trend Micro检测能力: “с трендом все ок на бруте должно быть” (“With Trend, everything should be fine on brute”)。
    • 还提到Trend Micro是他们操作中的持久问题,在尝试绕过其保护时令他们沮丧。

此外,Black Basta的一些关键成员已离开集团加入Cactus勒索软件操作,正如在两个集团的TTP重叠中观察到的那样。基于该背景,Trend评估Cactus将保持高度活跃,Basta的经验丰富成员将在Cactus操作下继续他们的攻击。Black Basta的未来目前未知。它可能因为泄露而内爆,就像Conti的情况一样。

超越传统防御保护企业

自2024年10月初以来,与Black Basta勒索软件社会工程活动相关的活动激增。首次在5月报告,该活动已演变为更新策略、改进恶意软件有效负载以及使用Microsoft Teams进行诱饵。

攻击以电子邮件轰炸活动开始,然后通过Teams直接联系,攻击者冒充IT人员。受害者被诱骗安装远程管理工具或执行远程shell,有时通过QR码绕过多因素认证(MFA)。一旦授予访问权限,部署额外的恶意软件如DarkGate和自定义有效负载以枚举环境、提取凭据并窃取VPN配置文件。

我们的情报表明,威胁行为者使用这些战术、技术和程序(TTP)——语音网络钓鱼(vishing)、Quick Assist作为远程工具和BACKCONNECT——来部署Black Basta勒索软件。

自2025年1月以来,我们的威胁情报团队观察到与Black Basta相关的某些威胁行为者可能发生隶属关系变化。具体来说,有证据表明成员已从Black Basta勒索软件集团过渡到Cactus勒索软件集团。这一结论是从分析Cactus集团使用的类似战术、技术和程序(TTP)中得出的。

为了减轻勒索软件和类似攻击的风险,组织应考虑以下关键措施:

  • 限制远程协助工具:禁用未授权使用远程访问工具。实施严格的远程协助使用策略,要求批准或验证。分层访问控制、监控和认证措施有助于减少与远程协助工具相关的风险。
  • 培训员工社会工程学:定期教育用户关于网络钓鱼诈骗和虚假远程协助尝试,强化对所有未经请求请求的验证。公司应通过行为驱动的培训计划积极测试、衡量和改进用户响应率,以增强员工对不断演变的社会工程策略的韧性。
  • 应用微软的Microsoft Teams安全最佳实践以保护Teams用户。公司还应将Teams视为关键的企业通信工具,需要与电子邮件相同级别的安全监控。对第三方集成和外部通信应用安全以防止冒充攻击。

使用Trend Vision One进行主动安全

Trend Vision One™是一个企业网络安全平台,通过整合多个安全能力、实现对

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次