- 19,437
- 40
- 8 Ноя 2022
Бывшие участники группы исчезли с радаров, но их тактики снова всплыли на передовой киберпространства.
Несмотря на Для просмотра ссылки Войдиили Зарегистрируйся группировки Black Basta после Для просмотра ссылки Войди или Зарегистрируйся в феврале 2025 года, её бывшие участники продолжают использовать знакомые методы атак и даже активно их развивают. Для просмотра ссылки Войди или Зарегистрируйся отчёт компании ReliaQuest, старые приёмы, включая массовые e-mail-рассылки и фишинг через Microsoft Teams, теперь дополняются Python-скриптами и скрытной передачей вредоносных данных через облачные сервисы.
Ключевым нововведением в последних кампаниях стало использование запросов cURL, которые применяются для загрузки и запуска вредоносных скриптов на компьютерах жертв. По данным специалистов, такие атаки наблюдались в финансовом, страховом и строительном секторах, где злоумышленники выдавали себя за службу поддержки, используя для этого взломанные домены и поддельные учётные записи на доменах «onmicrosoft[.]com». Примерно половина всех атак через Teams в период с февраля по май 2025 года велась с этих доменов, причём 42% — через уже скомпрометированные ресурсы.
Как отмечает ReliaQuest, взломщики активно используют полученный доступ для запуска удалённых сессий через Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , после чего загружают вредоносный Python-скрипт, обеспечивающий им устойчивую командную связь с заражённым узлом. В некоторых случаях жертвам демонстрируется поддельное окно входа в Windows, предназначенное для кражи учётных данных.
На фоне продолжающейся активности бывших участников Black Basta особенно резонансным Для просмотра ссылки Войдиили Зарегистрируйся предполагаемого лидера группировки, Олега Нефёдова, из зала суда в Армении. По данным армянских СМИ, он был задержан 21 июня 2024 года по запросу Интерпола и должен был находиться под стражей 72 часа, пока суд рассматривал ходатайство прокуратуры о временном аресте. Однако в день слушания адвокат Нефёдова добился 15-минутного перерыва, в ходе которого обвиняемый был отпущен «на прогулку» и воспользовался ситуацией, чтобы скрыться.
Несмотря на исчезновение утекшего сайта Black Basta, её подходы переживают новое рождение. Есть основания полагать, что часть бывших членов Для просмотра ссылки Войдиили Зарегистрируйся , о чём свидетельствует упоминание в утёкших чатах о переводе $500–600 тыс. в её адрес. Однако с марта 2025 года CACTUS не публиковала новые данные на своём слив-сайте, что вызывает подозрения: возможно, она либо ушла в подполье, либо прекратила существование.
Одним из вероятных новых убежищ для бывших членов Black Basta может быть группа Для просмотра ссылки Войдиили Зарегистрируйся , которую связывают с новым картелем под названием Для просмотра ссылки Войди или Зарегистрируйся . Именно эта связка всё чаще всплывает в расследованиях крупных атак последних месяцев.
Инфраструктура атак также эволюционирует: обнаружены усовершенствованные Java-бэкдоры, которые раньше использовались для кражи учётных данных в атаках Black Basta. Теперь они используют облачные сервисы, такие как Google Drive и OneDrive, для проксирования команд — что позволяет обходить обычные средства обнаружения. В свежих образцах конфигурационные параметры для прокси оставлены пустыми, что указывает на намеренный переход к использованию только облачной инфраструктуры CSP-провайдеров.
Новые версии этого ПО могут передавать файлы, разворачивать SOCKS5-прокси, извлекать пароли из браузеров, запускать Java-классы из удалённых URL в памяти и даже отображать фальшивые окна входа в систему. Всё это делает его мощным инструментом для закрепления в сети и дальнейшего развёртывания атак.
Методика, активно применяемая бывшими участниками Black Basta, уже начала распространяться среди других группировок. Так, BlackSuit переняла те же подходы к социальной инженерии, включая Teams-фишинг и Quick Assist, что может указывать либо на обмен тактиками, либо на миграцию участников между командами.
Также в отчётах упоминается использование ряда других вредоносов. Среди них — Python-бэкдор Anubis, Java-бэкдор, а также утилита на языке Rust, предположительно выполняющая роль загрузчика для SSH-клиента. Особого внимания заслуживает туннелирующий бэкдор QDoor, ранее уже связывавшийся с BlackSuit и недавно замеченный в атаках в стиле 3AM, описанных компанией Sophos.
В более широкой перспективе, на фоне этих событий разворачивается целый ряд атак со стороны других группировок. Scattered Spider, например, сфокусировалась на взломе MSP-компаний, используя фишинговые страницы на базе Evilginx для обхода двухфакторной аутентификации. Группировка Qilin (также известная как Agenda и Phantom Mantis) эксплуатирует уязвимости Fortinet FortiGate, а Play активно использует брешь CVE-2024-57727 в ПО SimpleHelp, атакуя организации в США.
Тем временем Для просмотра ссылки Войдиили Зарегистрируйся в группе VanHelsing привела к утечке всего исходного кода, включая TOR-ключи, панель администратора, базу данных блога и систему чатов. А группа Interlock начала распространять новый JavaScript-бэкдор NodeSnake, направленный на организации Великобритании в сфере образования и госуправления.
Как подчёркивает Quorum Cyber, использование RAT-инструментов остаётся основным способом получения и удержания доступа к инфицированным системам. Такие инструменты позволяют управлять системой, наблюдать за действиями пользователей, вводить дополнительное ПО и похищать данные — всё это делает их незаменимыми в арсенале современных атакующих.
Несмотря на Для просмотра ссылки Войди
Ключевым нововведением в последних кампаниях стало использование запросов cURL, которые применяются для загрузки и запуска вредоносных скриптов на компьютерах жертв. По данным специалистов, такие атаки наблюдались в финансовом, страховом и строительном секторах, где злоумышленники выдавали себя за службу поддержки, используя для этого взломанные домены и поддельные учётные записи на доменах «onmicrosoft[.]com». Примерно половина всех атак через Teams в период с февраля по май 2025 года велась с этих доменов, причём 42% — через уже скомпрометированные ресурсы.
Как отмечает ReliaQuest, взломщики активно используют полученный доступ для запуска удалённых сессий через Для просмотра ссылки Войди
На фоне продолжающейся активности бывших участников Black Basta особенно резонансным Для просмотра ссылки Войди
Несмотря на исчезновение утекшего сайта Black Basta, её подходы переживают новое рождение. Есть основания полагать, что часть бывших членов Для просмотра ссылки Войди
Одним из вероятных новых убежищ для бывших членов Black Basta может быть группа Для просмотра ссылки Войди
Инфраструктура атак также эволюционирует: обнаружены усовершенствованные Java-бэкдоры, которые раньше использовались для кражи учётных данных в атаках Black Basta. Теперь они используют облачные сервисы, такие как Google Drive и OneDrive, для проксирования команд — что позволяет обходить обычные средства обнаружения. В свежих образцах конфигурационные параметры для прокси оставлены пустыми, что указывает на намеренный переход к использованию только облачной инфраструктуры CSP-провайдеров.
Новые версии этого ПО могут передавать файлы, разворачивать SOCKS5-прокси, извлекать пароли из браузеров, запускать Java-классы из удалённых URL в памяти и даже отображать фальшивые окна входа в систему. Всё это делает его мощным инструментом для закрепления в сети и дальнейшего развёртывания атак.
Методика, активно применяемая бывшими участниками Black Basta, уже начала распространяться среди других группировок. Так, BlackSuit переняла те же подходы к социальной инженерии, включая Teams-фишинг и Quick Assist, что может указывать либо на обмен тактиками, либо на миграцию участников между командами.
Также в отчётах упоминается использование ряда других вредоносов. Среди них — Python-бэкдор Anubis, Java-бэкдор, а также утилита на языке Rust, предположительно выполняющая роль загрузчика для SSH-клиента. Особого внимания заслуживает туннелирующий бэкдор QDoor, ранее уже связывавшийся с BlackSuit и недавно замеченный в атаках в стиле 3AM, описанных компанией Sophos.
В более широкой перспективе, на фоне этих событий разворачивается целый ряд атак со стороны других группировок. Scattered Spider, например, сфокусировалась на взломе MSP-компаний, используя фишинговые страницы на базе Evilginx для обхода двухфакторной аутентификации. Группировка Qilin (также известная как Agenda и Phantom Mantis) эксплуатирует уязвимости Fortinet FortiGate, а Play активно использует брешь CVE-2024-57727 в ПО SimpleHelp, атакуя организации в США.
Тем временем Для просмотра ссылки Войди
Как подчёркивает Quorum Cyber, использование RAT-инструментов остаётся основным способом получения и удержания доступа к инфицированным системам. Такие инструменты позволяют управлять системой, наблюдать за действиями пользователей, вводить дополнительное ПО и похищать данные — всё это делает их незаменимыми в арсенале современных атакующих.
- Источник новости
- www.securitylab.ru
