ارتباط باج افزار Black Basta با گروه جرایم سایبری FIN7 روسیه

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir black basta ransomware linked fin7 cybercrime group 1
باج افزار بسیار فعال Black Basta توسط شرکت امنیت سایبری Sentinel One به گروه بدنام جرایم سایبری روسی معروف به FIN7 مرتبط دانسته شده است.

بلک باستا که ابتدا در آوریل ٢٠٢٢ مشاهده شد، در دو ماه اول فعالیت به یک تهدید رایج تبدیل شد و تخمین‌زده می‌شود که تا سپتامبر ٢٠٢٢ به بیش از ٩٠ سازمان نفوذ کرده است.

تجزیه‌و‌تحلیل عملیات باج‌افزار، یک اپراتور به خوبی سازمان‌دهی شده و دارای منابع خوب را نشان می‌دهد که تلاشی برای استخدام افراد وابسته ندارد، که نشان می‌دهد عامل تهدید در حال توسعه toolkit خود به‌صورت داخلی است و ممکن است با تعداد کمی از شرکت‌های وابسته همکاری کند.

مجموعه Sentinel One می‌گوید که تحقیقاتش در مورد Black Basta همچنین استفاده از ابزار‌های متعدد ایجاد شده توسط یک یا چند توسعه‌دهنده FIN7 (معروف به Carbanak) را نشان داده است که نشان‌دهنده ارتباط تنگاتنگ با آن گروه جرایم سایبری است.

آلودگی‌های Black Basta که در ماه ژوئن مشاهده شد، شامل ایمیل‌های هرزنامه‌ای بود که حاوی اسناد آفیس با فعال‌سازی ماکرو بود که برای ماندگاری بدافزار Qakbot طراحی شده بودند.
takian.ir black basta ransomware linked fin7 cybercrime group 2
همچنین، Backdoor به مهاجمان اجازه می‌دهد تا با استفاده از چندین ابزار که به‌صورت دستی اجرا می‌شوند، شناسایی سیستم را انجام دهند، از‌جمله فریمورک‌های SharpHound و BloodHound، که امکان شمارش Active Directory از طریق کوئری‌های LDAP و اسکنر شبکه SoftPerfect را فراهم می‌کند.

در مرحله بعد، اپراتور‌های Black Basta تلاش می‌کنند از چندین آسیب‌پذیری شناخته‌شده برای ارتقای اختیارات خود، از‌جمله NoPac (CVE-2021-42287، CVE-2021-42278)، PrintNightmare (CVE-2021-34527)، و ZeroLogon (CVE-14720) سواستفاده کنند..

مجموعه Sentinel One مشاهده کرده است که اپراتور‌ها باج افزار را با استفاده از ابزار‌های مختلف دسترسی از راه دور (RAT) و با تکیه بر اسکریپت‌های دسته‌ای برای حرکت جانبی فعال میکنند.

اپراتور‌های بدافزار اسکریپت‌های دسته‌ای اضافی را مستقر کرده و اجرا می‌کنند که به آن‌ها اجازه می‌دهد راه‌حل‌های امنیتی را متوقف یا کاملا غیرفعال کنند، از‌جمله یک ابزار نقص دفاعی سفارشی که منحصرا در برخی از حملات Black Basta استفاده می‌شده است.

تجزیه‌و‌تحلیل این ابزار سفارشی منجر به کشف یک نمونه سفارشی Birddog شد (همچنین به نام SocksBot شناخته می‌شود). این backdoor به‌عنوان بخشی از ابزار تهاجمی FIN7 شناخته می‌شود، که به Sentinel One کمک کرد ابزار نقص و پکر‌های سفارشی را به همان توسعه‌دهنده ابزار مرتبط کند.

همچنین، Sentinel One توانست Black Basta را از طریق چندین کد آرتیفکت در ابزار‌های مختلف مورد استفاده در حملات باج‌افزار، استفاده از پکر سفارشی، استفاده از اسکریپت‌های PowerShell منتسب به FIN7 و همپوشانی‌های زیرساخت را به FIN7 پیوند داده و ارتباطشان را کشف کند.

این مجموعه افزود : "ما ارزیابی می‌کنیم که به احتمال زیاد عملیات باج افزار BlackBasta با FIN7 ارتباط دارد. علاوه بر این، ما ارزیابی می‌کنیم که این احتمال وجود دارد که توسعه‌دهنده (های) پشت ابزار‌های آنها برای آسیب رساندن به دفاع قربانیان، توسعه‌دهنده FIN7 است یا بوده است. »

برچسب ها: SocksBot, Birddog, ZeroLogon, NoPac, SoftPerfect, BloodHound, SharpHound, Carbanak, Black Basta, PowerShell backdoor, FIN7, LDAP, Qakbot, باج‌افزار, PrintNightmare, جرایم سایبری, RAT, malware, ransomware , Cyber Security, حملات سایبری, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ