Hackeři spojení s ransomwarem Black Basta byli pozorováni, jak mění své taktiky a od října 2024 distribuují různé nástroje, jako jsou Zbot a DarkGate.
„Uživatelé v cílovém prostředí budou emailově bombardováni hackery, což je často dosaženo tím, že je jejich emailová adresa přihlášena k mnoha mailing listům současně,“ uvedla společnost Rapid7. „Po emailovém bombardování se hrozební aktér obrátí na postižené uživatele.“
Jak bylo pozorováno již v srpnu, útočníci navazují počáteční kontakt s potenciálními cíli prostřednictvím Microsoft Teams, kde se vydávají za pracovníky podpory nebo IT personál organizace. V některých případech byli také pozorováni, jak se vydávají za členy IT týmu přímo v cílové organizaci.
Uživatelé, kteří se zapojí do interakce s těmito hackery, jsou vyzváni k instalaci legitimního softwaru pro vzdálený přístup, jako je AnyDesk, ScreenConnect, TeamViewer nebo Quick Assist od Microsoftu. Společnost Microsoft sleduje hackerskou skupinu, která zneužívá Quick Assist pro nasazení Black Basta, pod názvem Storm-1811.
Rapid7 také zaznamenala pokusy ransomware skupiny využít klienta OpenSSH k vytvoření reverzní shellu a zaslat oběti škodlivý QR kód prostřednictvím chatu, pravděpodobně za účelem krádeže přihlašovacích údajů pod záminkou přidání důvěryhodného mobilního zařízení.
Kyberbezpečnostní společnost ReliaQuest, která také informovala o této kampani, teoretizovala, že QR kódy jsou používány k přesměrování uživatelů na další škodlivou infrastrukturu.
Vzdálený přístup umožněný instalací AnyDesk (nebo jeho ekvivalentu) je poté využit k doručení dalších škodlivých nástrojů na zařízení hostitele, včetně vlastního programu pro sběr přihlašovacích údajů, následovaného spuštěním Zbot (známého také jako ZLoader) nebo DarkGate, které mohou sloužit jako brána pro další útoky.
Zdroj: Thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS