Компания Rapid7 сообщает о возросшей активности кампании социальной инженерии, проводимой операторами вымогательского ПО Black Basta.
Black Basta Ransomware
Кампания началась в мае 2024 года, но в августе операторы обновили тактику и начали использовать Microsoft Teams для рассылки заманок. Результаты наблюдений показывают, что злоумышленники выдадут себя за сотрудников службы поддержки или представят себя в качестве ИТ-персонала. Они используют разные инструменты удаленного управления, такие как QuickAssist и TeamViewer, и пытаются обойти многофакторную аутентификацию, включая использование QR-кодов.
После получения доступа к активам пользователей через инструменты удаленного управления, злоумышленники загружают и выполняют вредоносные программы. Они также используют различные способы доставки полезной нагрузки, такие как взломанные экземпляры SharePoint, обычные сайты обмена файлами и серверы. Целью злоумышленников является перечисление окружения и сброс учетных данных пользователей, а также попытка получить доступ к файлам конфигурации VPN. Используемые исполняемые файлы для сбора учетных данных были обнаружены как DLL-файлы, выполняемые через rundll32.exe.
Распространенные методы защиты, такие как веб-прокси и меры безопасности, могут блокировать некоторые из этих попыток, но операторы постоянно совершенствуют свои тактики, в том числе с помощью обфускации и упаковки программного обеспечения. Rapid7 продолжает следить за этой кампанией и предоставляет рекомендации по защите, включая обучение пользователей и мониторинг сетевой активности.
В целом, кампания социальной инженерии, проводимая операторами Black Basta, стала более изощренной и эффективной. Злоумышленники используют идентичность сотрудников службы поддержки или ИТ-персонала, чтобы получить доступ к активам пользователей и украсть их учетные данные. Они используют различные инструменты удаленного управления и методы доставки полезной нагрузки. Пользователи должны быть осведомлены об этих мошеннических попытках и осторожны при общении с неизвестными контактами и установке программного обеспечения, особенно из ненадежных источников.
Indicators of Compromise
IPv4
- 109.172.87.135
- 109.172.88.38
- 145.223.116.66
- 147.28.163.206
- 172.81.60.122
- 179.60.149.194
- 184.174.97.32
- 185.130.47.96
- 185.229.66.224
- 185.238.169.17
- 188.130.206.243
- 193.29.13.60
- 212.232.22.140
- 45.61.152.154
- 46.8.232.106
- 46.8.236.61
- 65.87.7.151
- 66.78.40.86
- 8.209.111.227
- 8.211.34.166
- 88.214.25.32
- 91.212.166.91
- 93.185.159.253
- 94.103.85.114
Domains
- arifgrouporg-my.sharepoint.com
- bigdealcenter.world
- binusianorg-my.sharepoint.com
- blazingradiancesolar.com
- brownswer.com
- crystallakehotels.com
- dns.winsdesignater.com
- dropmeafile.com
- file.io
- mailh.org
- posetoposeschool.com
- sslip.io
- summerrain.cloud
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
MD5
- a04da51938bb298ff91acd1561f5a32a
SHA1
- 0c951a4a4c8a3827832f2d2379f02271e17ff16b
- 0cb59b74d87ac56f1aa3269eecee3ad6d01d7915
- 0fbed8d60e2d940882e01a2bf11003f6bd59f883
- 0fdb26c6202acb33eea938da1a492504035ff8c1
- 10a3f269d12c41849a052d44ce6855539db91a0b
- 13b3722483559259c14f69e213aeeb194c7b5718
- 1a404996f1d52d2e2674aa6409d54b8232242d23
- 22f10e42683501fb2ea6962e44eefd64848aefe7
- 276c38a5a59beab93abcd33919cbbaa572558ad2
- 516f29bbd64a2661e8770cc76903bfae5aa39f23
- 52222a8938928d70aa515798c5ba97a2f9932176
- 577efd1534dd2c4133ea2e4b16a21672d257af72
- 5a95b69c11018420b17b469771c8ec07458fda23
- 640640d6651c4ac2f66ed8312084849ad9f0124e
- 69fa757349161207e6d07ec3743486285657d013
- 6e16e05923be2363b81b235c934b8996a58d3bdf
- 73ceb983d71b42521b13cd9d81657a0857ae3b50
- 752b86b58860377d0ed1f9570b1ed1324d3c4f2e
- 7b872d6799506ecb1a6a69b0b16cf53a70a337be
- 850c30ef8456ea5ee9dbeecc27959a39dd3fb57d
- 8840ae4bf610bdd0a2d65a246c397af3f3b3caba
- 8af2eab50e77706cec0f1416a51c171088d26ed6
- 92af977ef07f42607f23fd94e8a790139f910ee1
- 966a90baf892a8d1cff1e6ba464e4c29a09b3a3c
- 9c5235035a40786be22dc11128109ac9d31a1036
- a6d653d2887f0ce4029a94616464ad74c4f770fe
- ab1271b4316eb4a5d6ea03b4c24d56cef1e8524a
- b8af3493aa43dc4371f25b8eff349bd774ec179b
- bccf867716709ce0167cc72f16d4a14f159e459f
- e600cf9e713f3d5c0bb691c2bdecffd946ff2b35
- ec446276a337fee3c51de2dbd8df7ebeb3b5ea88
- f09804b59a3aac7c1dd47c7e027182fb54f9a277
- f1d299336aac1a1314b36064ffa9ae12ebdb3e4c
- f2786d1e79c5d1f1876bd171d64a56436465b175
- f8dac4e8b5a11e91640b0277113ad1770e7fc3ef
SHA256
- 0482dc9c6ed46e247682e1d4ae5c5a037ef0b66f3b22af9ae25ac072028dd7a2
- 146494eb276fc4539bffa6896b958e29a417a5959a5c10d100caf48514b66864
- 14aad4fcc77e5fd7e7782c9c5714d1a4187e60e75a765b71d5d41b920bbae31a
- 1656c55c8516bd650fe59b71a5886ecf508deb927ed3c8465cf0ad5923c35958
- 1896ab744e436ca52a1c6c64a4608dbb8e5597e35d13be1f3c56bc65eb44e532
- 22c5858ff8c7815c34b4386c3b4c83f2b8bb23502d153f5d8fb9f55bd784e764
- 2a8a49d9c25d786a5108a53d0b3281677b299540f54580a7b49aa8de78ec0ee1
- 2f5301125627331f56db76046d177493d8b0a814cdd9cafad3981aad97383163
- 38ee04ee9d3b3912013d54483d8f822eebd0367408b369bc09f46cb339a54313
- 3b7e06f1ccaa207dc331afd6f91e284fec4b826c3c427dffd0432fdc48d55176
- 42ffc3eb728ccc83cf4f115c6a3e32c01ef80869b9f2c4f2d62a7a88c7bf4bc2
- 474ba7f2fb18b7b55fc077513cda6f6d36fb79e58065c556724ea049a392e327
- 49405370a33abbf131c5d550cebe00780cc3fd3cbe888220686582ae88f16af7
- 4f30d975121d44705a79c4f5c8aeba80d8c97c8ef10c86fee011b99f12b173b4
- 57d8296dd901491d37e7c79d0fe95188f3b7c94affc71c8e732daea8369cfa4f
- 5e9fbae0b94f6e36717bbd2c997981ba438d7efd800e76924f73452a69c04051
- 5fef7a5db4b1c216c9fc37d55143e5b635e8833d82f95004bb4fb47060fdf447
- 67c8bc21bbdcc59f7fd2b0a6f0f6c98f0076a0142e94cb3f158155e0ca9ac71a
- 717aed4c123a3cde0695818f7038c1092d9dcd7c910ac5ddba96d5e348e1337f
- 71e08a89ecdfac3bb490bec6c4115cfd71de744897fd8b7dd7383646e911858e
- 729f08249b9f55f17fe7762d6c41c619127e0a7798194b7ff18f06003ff3d041
- 95a6c06ac691bec0ac2140b6590c96488feb8bc6c3ca501d1fe8ee7cbf9d0f8b
- 97daf5e1b2519a655397173fb5af346f9435fb4acf097d10ad4ffde464d21c09
- 9a21ec5a25dfe7ca51d4a843a96bfb6e650dc999d3b6d4bd771571359b3bea0a
- a9f2c4bc268765fc6d72d8e00363d2440cf1dcbd1ef7ee08978959fc118922c9
- c4942f989530f09b499978721d282998eaa77be31a4361ac6250f1df721decb9
- c50271cc3e26651a5b5384894490c7153c56b86435e61b5ca206f8e9c5c5542f
- c675130390b4ee16ea72dea30807939b1306d373c5b7ffe0cf1d2afaffc402b6
- c69ab262ac3f73277c4b9a777a408f57feb618e2e00bc2e66e8d97274083c742
- d90afa08e38c15bb3e48187e436645b42d4d856e219242cb6c33085c4c1611db
- db34e255aa4d9f4e54461571469b9dd53e49feed3d238b6cfb49082de0afb1e4
- ebbe6a9e1188e2ee1651b5c68b6b508fb52b9e8896dbbeb0f4e126961ba94982
- ec669387150865b59bbf98b41a770235ba4fd632aab33433c2d493460ef52479
- ee79f4e87e0b393c952b478c9a30f35802c09f93e899ecf6b40d8d6625188031
- ef28a572cda7319047fbc918d60f71c124a038cd18a02000c7ab413677c5c161
- fb444e7bb7c8f48207ceeba8bad9c2b9ae9c726ac28916c5be5390ba67c2c77c
