11 Şubat 2025 tarihinde Telegram Tutini Kullanarak Rusça konuşan bir aktör @ExploitWhisper Sween Black Basta Ransomware (RAAS) üyelerinin iç sohbet günlüklerini sızdırıyor.
Eylül 2023’ten Eylül 2024’e kadar uzanan bu iletişim, güvenlik araştırmacılarına grubun birden fazla sektördeki kuruluşları hedeflemek için kullanılan operasyonel taktikleri ve altyapısı hakkında eşi görülmemiş bir fikir vermiştir.
Nisan 2022’de ortaya çıkan Black Basta, çift gasp taktikleri kullanarak kendini finansal olarak motive edilmiş siber suç operasyonu olarak kurdu.
Grup, kesinti süresinin önemli finansal ve operasyonel etki yarattığı yüksek değerli hedeflere stratejik bir odaklanma göstermiştir, iş hizmetleri (33 olay), endüstriyel makineler (14) ve üretim (6) en sık hedeflenen sektörleridir.
Eclecticiq’teki analistler, Black Basta Raas üyelerinin 2023’ten beri kullandığı daha önce bilinmeyen bir kaba zorlama çerçevesi belirlediler.
Günlük adlandırma kurallarına dayanarak “Bröf” olarak adlandırılan bu hücum çerçevesi, kurumsal ağlarda yaygın olarak kullanılan güvenlik duvarları ve VPN çözümleri de dahil olmak üzere Edge Network cihazlarına karşı otomatik internet taraması ve kimlik bilgisi doldurma gerçekleştirir.
Sızdıran iletişimlere göre, Black Basta, 45.140.17.40, 45.140.17.24 ve 45.140.17.23 dahil olmak üzere, hepsi Proton66 (As 198953) altında kaydedilen ve Rusya’da bulunan ve 45.140.17.23 dahil olmak üzere birden fazla sunucu işletti.
Bu stratejik seçimler muhtemelen kötü niyetli faaliyetlerini yürütürken Batı kolluk incelemesinden kaçınmayı amaçlamıştır.
Kaba çerçevenin analizi, Sonicwall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix Netscaler, Microsoft RDWeb ve WatchGuard SSL VPN dahil olmak üzere çeşitli uzaktan erişim ve VPN çözümlerini hedefleyen sofistike yetenekleri ortaya çıkardı.
.webp)
Sürümünü ve iletişim için ana C2 sunucularını açığa çıkaran kaba kaynak kodu.
Çılgın çerçevenin teknik detayları
Çerçeve, etkinliğini en üst düzeye çıkarmak için birden fazla gelişmiş teknik kullanır.
Yüksek hacimli kaba zorlama isteği gerçekleştirirken saldırganın sunucu IP’sini gizlemek için etki alanı fuck-you-usa.com’dan büyük bir SOCKS5 proxy listesi kullanarak proxy rotasyonu kullanır.
.webp)
Çerçeve ayrıca, potansiyel hedefleri keşfetmek için temel alanlara bilinen önekleri (VPN, uzaktan kumanda, posta vb.) Hazırlayarak alt alan numaralandırmasını otomatikleştirir.
.webp)
Brelted tarafından kullanılan özellikle akıllı bir teknik, ek şifre tahminleri oluşturmak için bir hedefin SSL sertifikasından ortak adları (CN) ve konu alternatif adlarını (SAN) çıkarır.
Başarılı bir kaba zorlama saldırısı, “0FICE2023!” İçin “geçerli kimlik bilgileri buldu” gibi sonuçlar verebilir. bir Sonicwall cihazında.
Meyveden çıkarılan kenar cihazları aracılığıyla başlangıç erişimini sağladıktan sonra, siyah Basta aktörleri, komut ve kontrol kanalları oluşturmak, ekstrakt kimlik bilgileri ve sonuçta ağ paylaşımları, sanallaştırılmış ortamlar ve bulut depolama alanları oluşturmak için kobalt grev veya kaba ratel gibi eksploitasyon sonrası çerçeveleri dağıtan yapılandırılmış bir saldırı zincirini takip eder.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.