Siyah Basta ve Cactus fidye yazılımı ailelerini konuşlandıran tehdit aktörlerinin, daha önce siyah Basta ile ilişkili bağlı kuruluşların kaktüslere geçmiş olabileceği bir işaret olan enfekte olmuş konakçılar üzerinde kalıcı kontrolü korumak için aynı backconnect (BC) modülüne güvendiği bulunmuştur.
Trend Micro, Pazartesi analizinde, “Sızdırdıktan sonra, saldırganlara çok çeşitli uzaktan kumanda yetenekleri vererek enfekte makinede komutlar yürütmelerine izin veriyor.” Dedi. “Bu, giriş bilgileri, finansal bilgiler ve kişisel dosyalar gibi hassas verileri çalmalarını sağlar.”
Siber güvenlik şirketinin Qakbot yükleyici ile örtüşmeler nedeniyle QbackConnect olarak izlediği BC modülünün detaylarının ilk olarak Ocak 2025’in sonlarında hem Walmart’ın siber istihbarat ekibi hem de Sophos tarafından belgelendiğini belirtmek gerekir.
Geçtiğimiz yıl, Black Basta saldırı zincirleri, BT desteği veya yardım masası personelinin kisvesi altında tehdit oyuncusu tarafından temasa geçtikten sonra hızlı yardım kurmaya aday hedefleri kandırmak için e -posta bombalama taktiklerini giderek daha fazla kullandı.
Daha sonra erişim, Microsoft OneDrive’ı güncellemekten sorumlu meşru bir yürütülebilir dosyası olan OneDrivestanDaloneupdater.exe kullanılarak ReedBed adlı kötü amaçlı bir DLL yükleyicisini (“winhttp.dll”) kenar yüklemek için bir kanal görevi görür. Yükleyici nihayetinde BC modülünü şifresini çözer ve çalıştırır.
Trend Micro, BackConnect’i dağıtmak için aynı modus operandi kullanan bir kaktüs fidye yazılımı saldırısı gözlemlediğini, ancak yanal hareket ve veri eksfiltrasyonu gibi çeşitli sömürü sonrası eylemler gerçekleştirmek için bunun ötesine geçtiğini söyledi. Ancak, kurbanın ağını şifreleme çabaları başarısızlıkla sonuçlandı.
Taktiklerin yakınsaması, e-suç çetesinin iç işleyişini ve organizasyon yapısını çıplak bırakan son siyah Basta sohbet günlük sızıntıları ışığında özel bir önem kazanır.
Özellikle, finansal olarak motive olmuş mürettebat üyelerinin, bazıları bilgi çalma günlüklerinden kaynaklanan geçerli kimlik bilgilerini paylaştıkları ortaya çıkmıştır. Diğer önemli başlangıç erişim noktalarından bazıları uzak masaüstü protokol (RDP) portalları ve VPN uç noktalarıdır.
Trend Micro, “Tehdit aktörleri bu taktikleri, teknikleri ve prosedürleri (TTP) – vishing, uzak bir araç olarak hızlı yardımcı ve backconnect – siyah Basta fidye yazılımlarını dağıtmak için kullanıyor.” Dedi.
“Özellikle, üyelerin siyah Basta fidye yazılımı grubundan kaktüs fidye yazılımı grubuna geçtiklerini gösteren kanıtlar var. Bu sonuç, kaktüs grubu tarafından kullanılan benzer taktikler, teknikler ve prosedürlerin (TTP’ler) analizinden alınmıştır.”