BlackSuit在Black Basta内部分裂后持续发起社交工程攻击
执行摘要
自2024年12月下旬以来,与Black Basta勒索软件组织相关的社交工程攻击显著减少。2025年2月泄露的Black Basta聊天日志表明该组织存在内部分裂。尽管如此,Rapid7仍观察到持续的社交工程攻击。现有证据表明,BlackSuit附属组织要么采用了Black Basta的策略,要么吸收了该组织的成员。先前在社交工程攻击中分发的Java恶意软件家族的开发者现已被评估为初始访问经纪人,可能为Black Basta和/或FIN7附属组织提供历史访问权限。
攻击概述
攻击的第一阶段保持不变。攻击者会向目标用户发送大量电子邮件,每小时可达数千封。这通常是通过将目标用户的电子邮件同时注册到许多公开可用的邮件列表来实现的,当每个服务发送欢迎电子邮件时,实际上形成了拒绝服务攻击。这种技术通常被称为电子邮件炸弹。
技术分析
Java RAT
Rapid7处理的大量社交工程事件导致Java RAT被下载并执行。该恶意软件现在滥用Google和Microsoft提供的基于云的文件托管服务,通过各自的云服务提供商(CSP)服务器代理命令。RAT的逻辑使用各种类型的垃圾代码、控制流混淆和字符串混淆来阻碍分析。
QEMU攻击
在Rapid7处理的少量事件中,攻击者被观察到向用户发送Google Drive链接以下载包含QEMU(快速模拟器)及其依赖项的zip存档,包括自定义制作的.qcow2虚拟磁盘映像。该映像包含一个Windows 7 Ultimate虚拟机(VM),配置为自动登录并执行RunOnce注册表项,该注册表项启动ScreenConnect安装程序。
缓解建议
Rapid7建议采取以下预防措施来限制对此类攻击的暴露:
- 尽可能限制外部用户通过Microsoft Teams联系用户的能力
- 在环境中标准化远程管理工具
- 提供有关社交工程活动的用户意识培训
- 标准化VPN访问
- 在整个环境中要求多因素认证(MFA)
- 定期更新软件和固件
MITRE ATT&CK技术
| 战术 | 技术 | 程序 |
|---|---|---|
| 侦察 | T1591: 收集受害者组织信息 | 攻击者利用公开可用信息识别目标联系方式和财务信息 |
| 资源开发 | T1587.001: 开发能力: 恶意软件 | 威胁行为者正在积极开发新的恶意软件进行分发 |
| 影响 | T1498: 网络拒绝服务 | 威胁行为者用垃圾邮件淹没电子邮件保护解决方案 |
完整的技术指标(IoC)可在Rapid7 GitHub仓库获取。