stihl не предоставил(а) никакой дополнительной информации.
-
[ Регистрация ] — Открытая и бесплатная
TXT BlackBasta chatting
- Автор темы stihl
- Дата начала
stihl не предоставил(а) никакой дополнительной информации.
В сети опубликован архив логов из внутреннего чата Matrix, где якобы общались операторы вымогательского Black Basta. ИБ-исследователи полагают, что из-за масштабного внутреннего конфликта группировка фактически прекратила свое существование в начале 2025 года.
Некто под ником ExploitWhispers сначала выложил логи чатов в файлообменник MEGA, откуда их уже удалили, а затем загрузил их в отдельный Telegram-канал. При этом неизвестно, кем именно является ExploitWhispers: ИБ-исследователем, конкурентом или недовольным членом хак-группы. Заметим, что русский язык явно не является для него родным.
Утечка содержит сообщения, которыми участники группировки обменивались в период с 18 сентября 2023 года по 28 сентября 2024 года.
Как сообщают специалисты швейцарской компании Prodaft, одними из первых заметившие происходящее, этот «слив» может являться прямым следствием того, что группировка якобы атаковала российские банки. Так, некоторым участникам команды это якобы не понравилось, поскольку они опасались, что последует ответ со стороны российских властей.
«Мы заметили, что группа Black Basta (Vengeful Mantis) практически не проявляла активности с начала года из-за внутренних конфликтов. Некоторые из ее операторов обманывали жертв, собирая выкупы и не предоставляя в ответ работающие дешифраторы, — пишут эксперты Prodaft. — 11 февраля 2025 года произошла крупная утечка, в результате которой были раскрыты логи внутренних чатов Black Basta в Matrix. Сливший их человек утверждает, что опубликовал эти данные, потому что группировка нацелилась на российские банки. Эта утечка очень похожа на предыдущие утечки Conti».
Как сообщает издание Bleeping Computer, анализ логов показал, что они содержат широкий спектр информации, включая фишинговые шаблоны и электронные адреса для их отправки, криптовалютные адреса, учетные данные жертв и так далее.
Также в логах были найдены 367 уникальных ссылок ZoomInfo, что может свидетельствовать о вероятном количестве компаний-жертв. Вымогательские группировки нередко используют ZoomInfo для обмена информацией о жертвах и во время ведения переговоров.
Как рассказывает аналитик компании Prodaft, известный под ником 3xp0rt, ExploitWhispers поделился информацией о некоторых ключевых членах Black Basta, включая Lapa (один из администраторов), Cortes (связан с группой Qakbot), YY (главный администратор Black Basta) и Trump (он же GG и AA), который якобы является главой группировки.
Напомним, что Black Basta активна с апреля 2022 года и работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS). За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика Rheinmetall, европейское подразделение Hyundai, компанию ABB, Knauf, Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys, Yellow Pages Canada и так далее.
ИБ-специалисты полагают, что Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
По данным Агентства по кибербезопасности и защите инфраструктуры США (CISA) и ФБР, в период с апреля 2022 года по май 2024 года операторы Black Basta успешно атаковали более 500 организаций.
****
От REvil до Black Basta. Олег Нефедов a.k.a. Tramp
Для просмотра ссылки Войдиили Зарегистрируйся
****
Предполагаемый лидер хакерской группировки Black Basta Олег Нефёдов, находящийся в розыске Интерпола и властей США, был арестован в Армении на 72 часа, но смог сбежать из-под стражи. Киберпреступник покинул здание суда во время слушания, пока судья не успел вынести решение о временном задержании.
Компания Intel 471 связала личность лидера группировки Black Basta, известного под псевдонимами GG и tramp, с Олегом Нефёдовым. Недавняя утечка внутренних сообщений банды раскрыла множество подробностей о деятельности этой группировки.
Примечательно, что с 21 июня по 3 июля 2024 года сообщения от лидера GG прекратились. Когда он снова появился в сети, то в частной беседе с другим членом группировки рассказал об аресте правоохранительными органами и побеге с помощью высокопоставленных лиц.
Согласно армянскому новостному изданию 168.am , Нефёдов был задержан на 72 часа 21 июня 2024 года в 11:00. Прокуроры подали запрос на временное задержание в суд, который назначил срочное слушание за несколько часов до истечения срока ареста. Однако судья не принял решение в установленный срок.
Адвокат Нефёдова ходатайствовал о переносе слушания на 15 минут, после чего обвиняемый был отпущен «на прогулку» и скрылся из здания суда на автомобиле, несмотря на присутствие сотрудников суда и полиции. После побега судья лично объявил решение об аресте Нефёдова, но преступника уже и след простыл.
30 сентября 2024 года 168.am сообщило , что в отношении судьи, рассматривавшего дело Нефёдова, начата дисциплинарная проверка. По информации издания, причиной стало промедление в рассмотрении ходатайства прокуратуры о задержании. 10 октября 2024 года CivilNet подтвердило, что судья действительно стал объектом дисциплинарных разбирательств.
Лидер Black Basta похвастался перед соратниками своими «друзьями очень высокого уровня». На вопрос другого члена группировки о том, как его вытащили, GG ответил: «Помнишь, я говорил, что у меня есть друзья на высоком уровне; это уровень нашего первого».
В последующих сообщениях GG утверждал, что запросил «зелёный коридор», и к нему «немедленно вылетели». Он также упомянул о помощи человека, управляющего «крупными корпорациями», который мог обеспечить беспрепятственный проход через иммиграционную службу благодаря другому высокопоставленному чиновнику.
В переписке также упоминается покупка недвижимости в Дубае, где могли скрываться участники Black Basta. Например, хакер chuck, связанный с вредоносной программой Qakbot, консультировался с адвокатом о юридических рисках проживания в ОАЭ. Он полагал, что вероятность ареста по ордеру Интерпола в Дубае была минимальной.
После утечки активность Black Basta резко снизилась. Если в 2022 году они атаковали 165 компаний, то за 2025 год известно всего о восьми успешных атаках.
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
****
Исследователи Trend Micro обнаружили, что киберпреступные группировки, использующие программы-вымогатели Black Basta и CACTUS, применяют один и тот же инструмент для удалённого управления заражёнными устройствами. Речь идёт о модуле BackConnect (BC), который позволяет злоумышленникам сохранять контроль над системой после её компрометации. Этот факт может указывать на связь между двумя группами или даже на переход участников Black Basta в состав CACTUS.
Специалисты пояснили, что после проникновения этот инструмент даёт злоумышленникам широкие возможности удалённого управления, включая выполнение команд на заражённом устройстве. Это позволяет похищать конфиденциальные данные, такие как учётные записи, финансовую информацию и личные файлы.
BC-модуль, получивший обозначение QBACKCONNECT из-за пересечений с загрузчиком QakBot, впервые был подробно описан в январе 2025 года экспертами Walmart Cyber Intelligence и Sophos. Sophos присвоила ему кодовое название STAC5777.
За последний год атаки с использованием Black Basta всё чаще включали технику Email Bombing, вынуждая жертв устанавливать Quick Assist после получения запроса от злоумышленников, выдающих себя за сотрудников технической поддержки. Доступ использовался для загрузки вредоносной библиотеки «winhttp.dll» под названием REEDBED через «OneDriveStandaloneUpdater.exe», легитимный процесс обновления OneDrive. Затем загруженный файл расшифровывал и запускал BC-модуль.
Специалисты Trend Micro обнаружили, что CACTUS применял ту же методику для развёртывания BackConnect. Однако группа также использовала дополнительные техники постэксплуатации, такие как боковое перемещение по сети и эксфильтрация данных. Попытки шифрования файлов в одной из атак закончились неудачей.
Схожесть тактик стала особенно важной после утечки внутренней переписки Black Basta, которая раскрыла организационную структуру группировки. В ходе анализа выяснилось, что участники обменивались актуальными учётными данными, полученными из логов вредоносного ПО. В качестве точек первоначального проникновения использовались RDP-порталы и VPN-доступ.
Trend Micro отмечает, что злоумышленники применяют сочетание голосового фишинга (вишинга), Quick Assist как инструмента удалённого управления и BackConnect для доставки Black Basta. Схожесть методик указывает на возможное перетекание участников из одной группировки в другую, что подтверждается анализом используемых тактик и инструментов.
***
Несмотря на публичный крах группировки Black Basta после утечки её внутренних чатов в феврале 2025 года, её бывшие участники продолжают использовать знакомые методы атак и даже активно их развивают. Как показал отчёт компании ReliaQuest, старые приёмы, включая массовые e-mail-рассылки и фишинг через Microsoft Teams, теперь дополняются Python-скриптами и скрытной передачей вредоносных данных через облачные сервисы.
Ключевым нововведением в последних кампаниях стало использование запросов cURL, которые применяются для загрузки и запуска вредоносных скриптов на компьютерах жертв. По данным специалистов, такие атаки наблюдались в финансовом, страховом и строительном секторах, где злоумышленники выдавали себя за службу поддержки, используя для этого взломанные домены и поддельные учётные записи на доменах «onmicrosoft[.]com». Примерно половина всех атак через Teams в период с февраля по май 2025 года велась с этих доменов, причём 42% — через уже скомпрометированные ресурсы.
Как отмечает ReliaQuest, взломщики активно используют полученный доступ для запуска удалённых сессий через Quick Assist и AnyDesk , после чего загружают вредоносный Python-скрипт, обеспечивающий им устойчивую командную связь с заражённым узлом. В некоторых случаях жертвам демонстрируется поддельное окно входа в Windows, предназначенное для кражи учётных данных.
На фоне продолжающейся активности бывших участников Black Basta особенно резонансным стал случай побега предполагаемого лидера группировки, Олега Нефёдова, из зала суда в Армении. По данным армянских СМИ, он был задержан 21 июня 2024 года по запросу Интерпола и должен был находиться под стражей 72 часа, пока суд рассматривал ходатайство прокуратуры о временном аресте. Однако в день слушания адвокат Нефёдова добился 15-минутного перерыва, в ходе которого обвиняемый был отпущен «на прогулку» и воспользовался ситуацией, чтобы скрыться.
Несмотря на исчезновение утекшего сайта Black Basta, её подходы переживают новое рождение. Есть основания полагать, что часть бывших членов перешла в группировку CACTUS , о чём свидетельствует упоминание в утёкших чатах о переводе $500–600 тыс. в её адрес. Однако с марта 2025 года CACTUS не публиковала новые данные на своём слив-сайте, что вызывает подозрения: возможно, она либо ушла в подполье, либо прекратила существование.
Одним из вероятных новых убежищ для бывших членов Black Basta может быть группа BlackLock , которую связывают с новым картелем под названием DragonForce . Именно эта связка всё чаще всплывает в расследованиях крупных атак последних месяцев.
Инфраструктура атак также эволюционирует: обнаружены усовершенствованные Java-бэкдоры, которые раньше использовались для кражи учётных данных в атаках Black Basta. Теперь они используют облачные сервисы, такие как Google Drive и OneDrive, для проксирования команд — что позволяет обходить обычные средства обнаружения. В свежих образцах конфигурационные параметры для прокси оставлены пустыми, что указывает на намеренный переход к использованию только облачной инфраструктуры CSP-провайдеров.
Новые версии этого ПО могут передавать файлы, разворачивать SOCKS5-прокси, извлекать пароли из браузеров, запускать Java-классы из удалённых URL в памяти и даже отображать фальшивые окна входа в систему. Всё это делает его мощным инструментом для закрепления в сети и дальнейшего развёртывания атак.
Методика, активно применяемая бывшими участниками Black Basta, уже начала распространяться среди других группировок. Так, BlackSuit переняла те же подходы к социальной инженерии, включая Teams-фишинг и Quick Assist, что может указывать либо на обмен тактиками, либо на миграцию участников между командами.
Также в отчётах упоминается использование ряда других вредоносов. Среди них — Python-бэкдор Anubis, Java-бэкдор, а также утилита на языке Rust, предположительно выполняющая роль загрузчика для SSH-клиента. Особого внимания заслуживает туннелирующий бэкдор QDoor, ранее уже связывавшийся с BlackSuit и недавно замеченный в атаках в стиле 3AM, описанных компанией Sophos.
В более широкой перспективе, на фоне этих событий разворачивается целый ряд атак со стороны других группировок. Scattered Spider, например, сфокусировалась на взломе MSP-компаний, используя фишинговые страницы на базе Evilginx для обхода двухфакторной аутентификации. Группировка Qilin (также известная как Agenda и Phantom Mantis) эксплуатирует уязвимости Fortinet FortiGate, а Play активно использует брешь CVE-2024-57727 в ПО SimpleHelp, атакуя организации в США.
Тем временем внутренняя борьба в группе VanHelsing привела к утечке всего исходного кода, включая TOR-ключи, панель администратора, базу данных блога и систему чатов. А группа Interlock начала распространять новый JavaScript-бэкдор NodeSnake, направленный на организации Великобритании в сфере образования и госуправления.
Как подчёркивает Quorum Cyber, использование RAT-инструментов остаётся основным способом получения и удержания доступа к инфицированным системам. Такие инструменты позволяют управлять системой, наблюдать за действиями пользователей, вводить дополнительное ПО и похищать данные — всё это делает их незаменимыми в арсенале современных атакующих.
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
Некто под ником ExploitWhispers сначала выложил логи чатов в файлообменник MEGA, откуда их уже удалили, а затем загрузил их в отдельный Telegram-канал. При этом неизвестно, кем именно является ExploitWhispers: ИБ-исследователем, конкурентом или недовольным членом хак-группы. Заметим, что русский язык явно не является для него родным.
Утечка содержит сообщения, которыми участники группировки обменивались в период с 18 сентября 2023 года по 28 сентября 2024 года.
Как сообщают специалисты швейцарской компании Prodaft, одними из первых заметившие происходящее, этот «слив» может являться прямым следствием того, что группировка якобы атаковала российские банки. Так, некоторым участникам команды это якобы не понравилось, поскольку они опасались, что последует ответ со стороны российских властей.
«Мы заметили, что группа Black Basta (Vengeful Mantis) практически не проявляла активности с начала года из-за внутренних конфликтов. Некоторые из ее операторов обманывали жертв, собирая выкупы и не предоставляя в ответ работающие дешифраторы, — пишут эксперты Prodaft. — 11 февраля 2025 года произошла крупная утечка, в результате которой были раскрыты логи внутренних чатов Black Basta в Matrix. Сливший их человек утверждает, что опубликовал эти данные, потому что группировка нацелилась на российские банки. Эта утечка очень похожа на предыдущие утечки Conti».
Как сообщает издание Bleeping Computer, анализ логов показал, что они содержат широкий спектр информации, включая фишинговые шаблоны и электронные адреса для их отправки, криптовалютные адреса, учетные данные жертв и так далее.
Также в логах были найдены 367 уникальных ссылок ZoomInfo, что может свидетельствовать о вероятном количестве компаний-жертв. Вымогательские группировки нередко используют ZoomInfo для обмена информацией о жертвах и во время ведения переговоров.
Как рассказывает аналитик компании Prodaft, известный под ником 3xp0rt, ExploitWhispers поделился информацией о некоторых ключевых членах Black Basta, включая Lapa (один из администраторов), Cortes (связан с группой Qakbot), YY (главный администратор Black Basta) и Trump (он же GG и AA), который якобы является главой группировки.
Напомним, что Black Basta активна с апреля 2022 года и работает по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS). За это время операторы малвари атаковали множество известных организаций, включая немецкого оборонного подрядчика Rheinmetall, европейское подразделение Hyundai, компанию ABB, Knauf, Публичную библиотеку Торонто, Американскую ассоциацию стоматологов, Sobeys, Yellow Pages Canada и так далее.
ИБ-специалисты полагают, что Black Basta является ребрендингом известной хак-группы Conti: на это указывают сходства используемых техник хакеров и стилей ведения переговоров.
По данным Агентства по кибербезопасности и защите инфраструктуры США (CISA) и ФБР, в период с апреля 2022 года по май 2024 года операторы Black Basta успешно атаковали более 500 организаций.
****
От REvil до Black Basta. Олег Нефедов a.k.a. Tramp
Для просмотра ссылки Войди
****
Предполагаемый лидер хакерской группировки Black Basta Олег Нефёдов, находящийся в розыске Интерпола и властей США, был арестован в Армении на 72 часа, но смог сбежать из-под стражи. Киберпреступник покинул здание суда во время слушания, пока судья не успел вынести решение о временном задержании.
Компания Intel 471 связала личность лидера группировки Black Basta, известного под псевдонимами GG и tramp, с Олегом Нефёдовым. Недавняя утечка внутренних сообщений банды раскрыла множество подробностей о деятельности этой группировки.
Примечательно, что с 21 июня по 3 июля 2024 года сообщения от лидера GG прекратились. Когда он снова появился в сети, то в частной беседе с другим членом группировки рассказал об аресте правоохранительными органами и побеге с помощью высокопоставленных лиц.
Согласно армянскому новостному изданию 168.am , Нефёдов был задержан на 72 часа 21 июня 2024 года в 11:00. Прокуроры подали запрос на временное задержание в суд, который назначил срочное слушание за несколько часов до истечения срока ареста. Однако судья не принял решение в установленный срок.
Адвокат Нефёдова ходатайствовал о переносе слушания на 15 минут, после чего обвиняемый был отпущен «на прогулку» и скрылся из здания суда на автомобиле, несмотря на присутствие сотрудников суда и полиции. После побега судья лично объявил решение об аресте Нефёдова, но преступника уже и след простыл.
30 сентября 2024 года 168.am сообщило , что в отношении судьи, рассматривавшего дело Нефёдова, начата дисциплинарная проверка. По информации издания, причиной стало промедление в рассмотрении ходатайства прокуратуры о задержании. 10 октября 2024 года CivilNet подтвердило, что судья действительно стал объектом дисциплинарных разбирательств.
Лидер Black Basta похвастался перед соратниками своими «друзьями очень высокого уровня». На вопрос другого члена группировки о том, как его вытащили, GG ответил: «Помнишь, я говорил, что у меня есть друзья на высоком уровне; это уровень нашего первого».
В последующих сообщениях GG утверждал, что запросил «зелёный коридор», и к нему «немедленно вылетели». Он также упомянул о помощи человека, управляющего «крупными корпорациями», который мог обеспечить беспрепятственный проход через иммиграционную службу благодаря другому высокопоставленному чиновнику.
В переписке также упоминается покупка недвижимости в Дубае, где могли скрываться участники Black Basta. Например, хакер chuck, связанный с вредоносной программой Qakbot, консультировался с адвокатом о юридических рисках проживания в ОАЭ. Он полагал, что вероятность ареста по ордеру Интерпола в Дубае была минимальной.
После утечки активность Black Basta резко снизилась. Если в 2022 году они атаковали 165 компаний, то за 2025 год известно всего о восьми успешных атаках.
• Source: Для просмотра ссылки Войди
• Source: Для просмотра ссылки Войди
• Source: Для просмотра ссылки Войди
****
Исследователи Trend Micro обнаружили, что киберпреступные группировки, использующие программы-вымогатели Black Basta и CACTUS, применяют один и тот же инструмент для удалённого управления заражёнными устройствами. Речь идёт о модуле BackConnect (BC), который позволяет злоумышленникам сохранять контроль над системой после её компрометации. Этот факт может указывать на связь между двумя группами или даже на переход участников Black Basta в состав CACTUS.
Специалисты пояснили, что после проникновения этот инструмент даёт злоумышленникам широкие возможности удалённого управления, включая выполнение команд на заражённом устройстве. Это позволяет похищать конфиденциальные данные, такие как учётные записи, финансовую информацию и личные файлы.
BC-модуль, получивший обозначение QBACKCONNECT из-за пересечений с загрузчиком QakBot, впервые был подробно описан в январе 2025 года экспертами Walmart Cyber Intelligence и Sophos. Sophos присвоила ему кодовое название STAC5777.
За последний год атаки с использованием Black Basta всё чаще включали технику Email Bombing, вынуждая жертв устанавливать Quick Assist после получения запроса от злоумышленников, выдающих себя за сотрудников технической поддержки. Доступ использовался для загрузки вредоносной библиотеки «winhttp.dll» под названием REEDBED через «OneDriveStandaloneUpdater.exe», легитимный процесс обновления OneDrive. Затем загруженный файл расшифровывал и запускал BC-модуль.
Специалисты Trend Micro обнаружили, что CACTUS применял ту же методику для развёртывания BackConnect. Однако группа также использовала дополнительные техники постэксплуатации, такие как боковое перемещение по сети и эксфильтрация данных. Попытки шифрования файлов в одной из атак закончились неудачей.
Схожесть тактик стала особенно важной после утечки внутренней переписки Black Basta, которая раскрыла организационную структуру группировки. В ходе анализа выяснилось, что участники обменивались актуальными учётными данными, полученными из логов вредоносного ПО. В качестве точек первоначального проникновения использовались RDP-порталы и VPN-доступ.
Trend Micro отмечает, что злоумышленники применяют сочетание голосового фишинга (вишинга), Quick Assist как инструмента удалённого управления и BackConnect для доставки Black Basta. Схожесть методик указывает на возможное перетекание участников из одной группировки в другую, что подтверждается анализом используемых тактик и инструментов.
***
Несмотря на публичный крах группировки Black Basta после утечки её внутренних чатов в феврале 2025 года, её бывшие участники продолжают использовать знакомые методы атак и даже активно их развивают. Как показал отчёт компании ReliaQuest, старые приёмы, включая массовые e-mail-рассылки и фишинг через Microsoft Teams, теперь дополняются Python-скриптами и скрытной передачей вредоносных данных через облачные сервисы.
Ключевым нововведением в последних кампаниях стало использование запросов cURL, которые применяются для загрузки и запуска вредоносных скриптов на компьютерах жертв. По данным специалистов, такие атаки наблюдались в финансовом, страховом и строительном секторах, где злоумышленники выдавали себя за службу поддержки, используя для этого взломанные домены и поддельные учётные записи на доменах «onmicrosoft[.]com». Примерно половина всех атак через Teams в период с февраля по май 2025 года велась с этих доменов, причём 42% — через уже скомпрометированные ресурсы.
Как отмечает ReliaQuest, взломщики активно используют полученный доступ для запуска удалённых сессий через Quick Assist и AnyDesk , после чего загружают вредоносный Python-скрипт, обеспечивающий им устойчивую командную связь с заражённым узлом. В некоторых случаях жертвам демонстрируется поддельное окно входа в Windows, предназначенное для кражи учётных данных.
На фоне продолжающейся активности бывших участников Black Basta особенно резонансным стал случай побега предполагаемого лидера группировки, Олега Нефёдова, из зала суда в Армении. По данным армянских СМИ, он был задержан 21 июня 2024 года по запросу Интерпола и должен был находиться под стражей 72 часа, пока суд рассматривал ходатайство прокуратуры о временном аресте. Однако в день слушания адвокат Нефёдова добился 15-минутного перерыва, в ходе которого обвиняемый был отпущен «на прогулку» и воспользовался ситуацией, чтобы скрыться.
Несмотря на исчезновение утекшего сайта Black Basta, её подходы переживают новое рождение. Есть основания полагать, что часть бывших членов перешла в группировку CACTUS , о чём свидетельствует упоминание в утёкших чатах о переводе $500–600 тыс. в её адрес. Однако с марта 2025 года CACTUS не публиковала новые данные на своём слив-сайте, что вызывает подозрения: возможно, она либо ушла в подполье, либо прекратила существование.
Одним из вероятных новых убежищ для бывших членов Black Basta может быть группа BlackLock , которую связывают с новым картелем под названием DragonForce . Именно эта связка всё чаще всплывает в расследованиях крупных атак последних месяцев.
Инфраструктура атак также эволюционирует: обнаружены усовершенствованные Java-бэкдоры, которые раньше использовались для кражи учётных данных в атаках Black Basta. Теперь они используют облачные сервисы, такие как Google Drive и OneDrive, для проксирования команд — что позволяет обходить обычные средства обнаружения. В свежих образцах конфигурационные параметры для прокси оставлены пустыми, что указывает на намеренный переход к использованию только облачной инфраструктуры CSP-провайдеров.
Новые версии этого ПО могут передавать файлы, разворачивать SOCKS5-прокси, извлекать пароли из браузеров, запускать Java-классы из удалённых URL в памяти и даже отображать фальшивые окна входа в систему. Всё это делает его мощным инструментом для закрепления в сети и дальнейшего развёртывания атак.
Методика, активно применяемая бывшими участниками Black Basta, уже начала распространяться среди других группировок. Так, BlackSuit переняла те же подходы к социальной инженерии, включая Teams-фишинг и Quick Assist, что может указывать либо на обмен тактиками, либо на миграцию участников между командами.
Также в отчётах упоминается использование ряда других вредоносов. Среди них — Python-бэкдор Anubis, Java-бэкдор, а также утилита на языке Rust, предположительно выполняющая роль загрузчика для SSH-клиента. Особого внимания заслуживает туннелирующий бэкдор QDoor, ранее уже связывавшийся с BlackSuit и недавно замеченный в атаках в стиле 3AM, описанных компанией Sophos.
В более широкой перспективе, на фоне этих событий разворачивается целый ряд атак со стороны других группировок. Scattered Spider, например, сфокусировалась на взломе MSP-компаний, используя фишинговые страницы на базе Evilginx для обхода двухфакторной аутентификации. Группировка Qilin (также известная как Agenda и Phantom Mantis) эксплуатирует уязвимости Fortinet FortiGate, а Play активно использует брешь CVE-2024-57727 в ПО SimpleHelp, атакуя организации в США.
Тем временем внутренняя борьба в группе VanHelsing привела к утечке всего исходного кода, включая TOR-ключи, панель администратора, базу данных блога и систему чатов. А группа Interlock начала распространять новый JavaScript-бэкдор NodeSnake, направленный на организации Великобритании в сфере образования и госуправления.
Как подчёркивает Quorum Cyber, использование RAT-инструментов остаётся основным способом получения и удержания доступа к инфицированным системам. Такие инструменты позволяют управлять системой, наблюдать за действиями пользователей, вводить дополнительное ПО и похищать данные — всё это делает их незаменимыми в арсенале современных атакующих.
• Source: Для просмотра ссылки Войди
Activity
So far there's no one here