勒索軟體進化:結合電郵轟炸、QR碼與社交工程手法
資安研究機構Rapid7最新報告指出,Black Basta勒索軟體組織自2024年10月初以來,已改變其社交工程戰術,開始分發Zbot和DarkGate等全新的惡意程式。Black Basta曾經於2023年成功攻擊工控大廠ABB。
根據觀察,這個駭客組織採用了多重攻擊手法。首先,他們會對目標進行「電郵轟炸」,同時將受害者的電子郵件地址註冊到多個郵件列表中,造成信箱氾濫。隨後,攻擊者會主動與受影響的用戶聯繫。
在社交工程方面,攻擊者會在Microsoft Teams上偽裝成組織的IT支援人員或內部員工,誘使受害者安裝AnyDesk、ScreenConnect、TeamViewer和Microsoft Quick Assist等合法遠端存取軟體。微軟已將濫用Quick Assist部署Black Basta的駭客組織編號為Storm-1811。
Rapid7的研究還發現,勒索軟體團隊嘗試利用OpenSSH客戶端建立反向shell,並透過聊天發送惡意QR碼。雖然表面上聲稱是為了新增受信任的行動裝置,實際目的可能是竊取認證憑證。資安公司ReliaQuest則推測,這些QR碼可能用於引導使用者連接更多惡意基礎設施。
一旦受害者安裝遠端存取軟體,攻擊者就會部署額外的惡意程式,包括自製的憑證竊取工具,以及Zbot(又稱ZLoader)或DarkGate等後門程式,為後續攻擊鋪路。
Rapid7表示,「攻擊者取得初始存取權後的主要目標似乎沒變:快速探查環境並竊取用戶憑證。他們也會嘗試竊取VPN配置文件。有了用戶憑證、組織VPN資訊和可能的MFA繞過方法,他們就能直接存取目標環境。」
值得注意的是,Black Basta是在2022年Conti勒索軟體組織解散後崛起的獨立團體。該組織目前已開發多款客製化惡意程式,包括:
- KNOTWRAP:用C/C++編寫的記憶體專用植入程式
- KNOTROCK:用於執行勒索軟體的.NET工具
- DAWNCRY:使用硬編碼金鑰解密記憶體中嵌入資源的植入程式
- PORTYARD:使用自訂二進位協定建立C2連線的通道工具
- COGSCAN:用於收集網路主機清單的.NET偵察工具
資安專家建議組織應加強員工社交工程防範意識,並確保遠端存取軟體的使用政策與監控機制,以降低遭受此類進階勒索軟體攻擊的風險。
