複数ライセンス割引見積
コンピュータセキュリティ Black Basta ランサムウェアが新たなソーシャル エンジニアリング戦術を悪用

Black Basta ランサムウェアが新たなソーシャル エンジニアリング戦術を悪用

コンピュータセキュリティMezoまで
翻訳内容:
日本語

進化する戦略で知られる Black Basta ランサムウェア グループは、2024 年 10 月の時点で新しいペイロード配信方法を採用しています。従来のランサムウェア キャンペーンに加えて、Zbot や DarkGate などの脅威を配布するようになり、標的を侵害するためのアプローチが計画的に変化していることを示しています。

ソーシャルエンジニアリングとメール爆弾の融合

Black Basta は、ターゲットを圧倒するための最初のステップとして、電子メール爆撃を使用します。この戦術では、被害者の電子メールを多数のメーリング リストに登録し、正当な通信を大量のスパムで効果的に溺れさせます。電子メール爆撃の後、攻撃者は影響を受けたユーザーに直接連絡を取り、混乱を有利に利用します。

使い慣れたプラットフォームでのなりすまし

2024 年 8 月に確認された注目すべき戦術は、Microsoft Teams などのプラットフォームで IT スタッフやサポート担当者になりすます攻撃者です。信頼できる内部関係者を装うことで、攻撃者はターゲットにさらなるやり取りをするよう説得します。場合によっては、攻撃者はターゲット組織の実際の IT スタッフになりすまし、信頼性を高めます。

リモート アクセス ツールを悪用して侵入する

被害者は、AnyDesk、TeamViewer、Microsoft の Quick Assist などの正規のリモート アクセス ソフトウェアをインストールするように誘導されることがよくあります。インストールされると、これらのツールによって攻撃者がシステムを制御できるようになります。Microsoft のセキュリティ チームは、識別子 Storm-1811 で Quick Assist を悪用するサイバー犯罪者グループを追跡しています。

リバースシェルと脅迫的なQRコード

攻撃者はリモート アクセス ツールに加え、OpenSSH クライアントを使用してリバース シェルを確立し、侵害されたシステムを制御できるようにします。別の方法としては、信頼できるモバイル デバイスを追加するように見せかけて、チャット プラットフォームを通じて悪意のある QR コードを送信するというものがあります。これらの QR コードは、被害者を有害なインフラストラクチャにリダイレクトしたり、資格情報を盗んだりする可能性があります。

ペイロード配信: 認証情報の盗難と後続攻撃

アクセスが確立されると、攻撃者はカスタム認証情報ハーベスター、Zbot、DarkGate などの追加のペイロードを展開します。これらのツールにより、攻撃者は認証情報を収集し、被害者の環境を列挙し、さらなる攻撃の準備を整えることができます。VPN 構成ファイルの盗難と侵害された認証情報を組み合わせると、攻撃者は多要素認証を回避し、ターゲットのネットワークに直接アクセスできるようになります。

ブラックバスタの起源と武器

Black Basta は、2022 年に Conti ランサムウェア ギャングの解散後に独立したグループとして出現しました。当初は QakBot ボットネットに依存していましたが、その後、高度なソーシャル エンジニアリング手法をその活動に取り入れ、多様化してきました。

彼らのマルウェアの武器には以下が含まれます:

  • KNOTWRAP : C/C++ で記述されたメモリ専用のドロッパーで、メモリ内でペイロードを実行できます。
  • KNOTROCK : ランサムウェア自体を展開するために使用される .NET ユーティリティ。
  • DAWNCRY : ハードコードされたキーを使用して埋め込まれたリソースを復号化して実行する、もう 1 つのメモリ専用のドロッパーです。
  • PORTYARD : カスタムバイナリプロトコルを使用してコマンドアンドコントロール (C2) サーバーに接続するトンネラー。
  • COGSCAN : ネットワーク ホスト列挙用の .NET ベースの偵察ツール。

脅威の配信に対するハイブリッドアプローチ

Black Basta の進化は、ボットネットへの依存から、高度な技術とソーシャル エンジニアリングを組み合わせたハイブリッド モデルへの移行を浮き彫りにしています。この変化は、ターゲット ネットワークに侵入する Black Basta の適応力と決意を強調しており、サイバー セキュリティ防御に対する永続的な課題となっています。

ブラックバスタに対する警戒を怠らない

このような脅威に対抗するには、組織はサイバーセキュリティの意識を優先し、強力な電子メール フィルターを実装し、迷惑メールやなりすましの危険性について従業員を継続的に教育する必要があります。常に変化し続けるこの脅威グループがもたらすリスクを軽減するには、効果的な対策が不可欠です。

読み込んでいます...