【安全资讯】Black Basta勒索软件转向更具规避性的定制恶意软件
概要:
Black Basta勒索软件团伙展示了其在不断变化的网络安全环境中的适应能力,使用新的定制工具和策略来规避检测并在网络中传播。自2022年4月以来,该团伙已对全球超过500家公司发动成功攻击,造成了严重的经济损失。主要内容:
Black Basta勒索软件团伙自2022年4月以来一直活跃,采用双重勒索策略,结合数据盗窃和加密,要求数百万美元的赎金。该团伙曾与QBot僵尸网络合作获取初始访问权限,但在QBot被执法部门摧毁后,转而与其他恶意软件分发集群合作,如DarkGate和SilentNight。Mandiant报告指出,Black Basta逐渐从使用公开工具转向内部开发的定制恶意软件。2024年初,UNC4393部署了一种名为DawnCry的定制内存加载器,启动多阶段感染,最终通过DaveShell引导到PortYard隧道工具。PortYard建立与指挥控制(C2)基础设施的连接并代理流量。
此外,Black Basta还使用了其他定制工具,如CogScan、SystemBC、KnockTrock和KnowTrap。这些工具分别用于网络侦察、隧道通信、符号链接创建和内存加载。结合这些工具,Black Basta继续利用现成工具进行攻击,包括Windows certutil命令行工具和Rclone工具。
总的来说,Black Basta仍然是全球范围内的重大威胁,是勒索软件领域的顶级玩家之一。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享