Black Basta fidye yazılımı grubu 2025’te dramatik bir şekilde düştü ve son zamanlarda sızan sohbet günlükleri, iç kavganın grubun yavaşlamış aktivitesinin arkasında olabileceğini gösteriyor.
Cyble Tehdit İstihbarat Araştırmacıları 2024’te 189 Black Basta kurbanını belgeledi. Yaklaşık iki ay 2025’e kadar bu sayı sekiz’e düştü. İki hafta önce, istismardan gelen bir telgraf kullanıcısı, grubun sohbet günlüklerini sızdırdı, bu da siyah Basta üyeleri arasındaki hedefler üzerinde kavga ve anlaşmazlık ortaya koydu.
Bununla birlikte, daha yararlı olabilecek şey, sohbet günlüklerinin bize siyah Basta TTP’ler (taktikler, teknikler ve prosedürler) hakkında söylediklerinin incelenmesidir. Bu nedenle, güvenlik araştırmacıları tarafından Eylül 2023 ile Eylül 2024 arasında gönderilen yaklaşık 200.000 sohbet mesajını içeren Black Basta verilerini incelemek için kurulan bir ChatGPT örneğini sorguladık (IOCS), TTP’ler ve daha fazlası.
Sohbet günlükleri, Grup üyeleri tarafından tartışılan daha yeni güvenlik açıkları da dahil olmak üzere, daha önce CISA ve diğerleri tarafından bildirilenlerin ötesinde yeni bilgiler içeriyor gibi görünüyor.
Black Basta ilk olarak Nisan 2022’de ortaya çıktı, muhtemelen Conti ve Revil fidye yazılımı gruplarının eski üyeleri tarafından oluşturuldu ve Cyble o zamandan beri grubun 528 kurbanını belgeledi.
Sızan sohbet günlükleri ile ortaya çıkan siyah basta ttps
Sohbet günlüklerine göre, Black Basta, uzak masaüstü protokolü (RDP) ve VPN kimlik bilgilerinin kullanımı gibi ilk erişim için uzaktan erişim noktalarını tehlikeye atar.
Kötü amaçlı yükleri yürütmek için VBS (Visual Basic betiği) dosyalarının kullanılması ve DLL tabanlı yükleri çalıştırmak için ortak bir yöntem olan Rundll32.exe aracılığıyla komut yürütme dahil olmak üzere kötü niyetli komut dosyaları takip eder.
Drs1312_signed.zip gibi dosya adları, algılamadan kaçınmak için dijital olarak imzalanmış yürütülebilir ürünlerin kullanılmasını önerir.
ESXI hipervizör güvenlik açıkları hakkında çok sayıda tartışma, varsayılan şifrelere izin veren sistemlerden bahsetmek ve çeşitli hizmetler için birkaç sızdırılmış giriş kimlik bilgileri grubun kimlik bilgisi doldurma, kaba kuvvet ve/veya kimlik avı taktikleri kullandığını göstermektedir.
Komut ve Kontrol (C2), SOCKS Proxy Sunucuları ve SSH Komut Yürütmesi tarafından, kötü amaçlı yazılım indirmeleri ve C2 iletişimi için dönen alanlarla kurulur.
Black Basta ayrıca grup üyeleri antivirüs (AV) kaçırma taktiklerini tartışan grup üyeleri ve E639196-f020-4c2f-88fc-45ff7e22794f_encrypt_release_allsystem_x64.zip gibi dosyalarla birlikte bok-zirve kullanır. Tartışmalar ayrıca özel olarak inşa edilmiş AV/EDR devre dışı cihazlarından ve Qakbot Truva Kaçma, Enjeksiyon ve Kalıcılık Mekanizmaları’ndan bahsetti.
Grup, kobalt grev yüklerini değiştirmek için özel olarak inşa edilmiş bir artefakt kiti, ayrıcalık yükseltme istismarlarını entegre etmek için yükselen kiti, bellek aşımı ve AV kaçaklama için uyku maskesi kitini ve Mutter kitini de dahil olmak üzere çoklu modifikasyonlarla kobalt grevini kullandı. derlenmiş ikili dosyaları değiştirin. Mimikatz sık kullanılan bir başka araçtır.
Üyeler ayrıca BT çağrılarını taklit ettiler, erişim ve geçiş güvenliğini elde etmek için destek olarak poz verdiler.
Black Basta’nın hedeflediği güvenlik açıkları
Sohbet günlükleri, siyah Basta üyeleri tarafından Linux ve Windows güvenlik açıklarından ağ cihazlarına, açık kaynak çerçevelerine, BT araçlarına ve daha fazlasına kadar tartışılan uzun bir güvenlik açıkları listesi içerir ve bazı durumlarda grubun birlikte zincirlemeleri olduğu görülmektedir.
Black Basta tarafından hedeflenen belirli CV’ler şunları içerir:
- CVE-2022-30190: Microsoft Windows Destek Teşhis Aracı (MSDT) Uzak Kod Yürütme (RCE) Güvenlik Açığı
- CVE-2021-44228: Log4J “Log4Shell” Güvenlik Açığı
- CVE-2022-22965: Spring Framework “Spring4Shell” Güvenlik Açığı
- CVE-2022-1388: F5 Big-IP Dinlenme Kimlik Doğrulama Güvenlik Açığı
- CVE-2022-0609: Google Chrome’da animasyonda ücretsiz güvenlik açığından sonra kullanın
- CVE-2017-11882: Microsoft Office Bellek Yolsuzluğu Güvenlik Açığı
- CVE-2022-41082 ve CVE-2022-41040: Microsoft Exchange “Proxynotshell” Güvenlik Açıkları
- CVE-2022-27925 ve CVE-2022-41352: Zimbra işbirliği güvenlik açıkları, erişim elde etmek ve ters bir kabuk yürütmek için birlikte kullanılan güvenlik açıkları
- CVE-2022-26134: Atlassian Confluence RCE güvenlik açığı
- CVE-2022-30525: Zyxel RCE güvenlik açığı
Grubun tartışılan daha yeni güvenlik açıkları şunları içermiştir:
- CVE-2024-21762: Fortinet Fortios RCE
- CVE-2024-3400: Palo Alto Ağlarında GlobalProtect RCE Pan-OS
- CVE-2024-1709: ConnectWise Screenconnect RCE
- CVE-2024-26169: Windows Hata Raporlama Hizmeti Güvenlik Açığı Yükseltmesi
- CVE-2024-23897: Bir Jenkins CI/CD Boru Hattı Güvenlik Açığı
- CVE-2024-1086: Linux çekirdeğinin NetFilter’ında kullanılmayan bir güvenlik açığı: NF_Tables Bileşeni
Black Basta Dosya Hashes ve Uzlaşma Göstergeleri (IOCS)
Fidye yazılımı dosyalarından ve kötü amaçlı yazılım örneklerinden C2 IP’lere, alanlara ve uzlaşmış kimlik bilgilerine kadar, sohbet günlükleri ayrıca bir dizi siyah Basta uzlaşma göstergesini (IOCS) ortaya çıkardı.
Fidye yazılımı dosyaları şunları içerir:
- E6393196-F020-4C2F-88FC-45FF7E22794F_encrypt_release_allsystem_x64.zip
- zip
- CVE-2022-27925-ZIMBRA_REVSHELL.ZIP (Backdoed Zimbra istismarı)
Black Basta, Remcosrat, AgentTesla, Formbook ve Guloader dahil olmak üzere çeşitli kötü amaçlı yazılım aileleriyle ilişkilendirilmiştir. Paylaşılan kötü amaçlı yazılım örneklerinden gelen dosya şunları içerir:
- Remcos Rat: C5793613219A782EB08205921A3F9ED97C2C74DE18E0CD36008046D1A5E1288E
- Ajan TESLA: 50D414576BF441CCA754E6E3B96DABDF35FED443ECB98F865DC89E623BC2F0E9
- Formbook: E19DFC72AD2EEEA815EF6B4B9B8112471B3B3CF4033D97E3C52C87DB865A
- Guloder: 5A2F52BB90ED8A2FD9BC0E07937684B9389CDD112760F8DC96E16AA63D513
Grup tarafından botnet iletişimi, komut ve kontrol (C2) ve vekiller için kullanılan IP adresleri şunları içermiştir:
- 214.25.250
- 8.18.230
- 161.27.152
- 98.80.158
- 60.149.244
- 227.252.244
- 238.181.250
- 118.36.203
- 60.149.241
- 165.16.55
- 57.243.97 (kabuk, çorap, FTP için kullanılır)
- 253.64.241 (İngiltere tabanlı saldırılarda kullanılır)
Conti’den beri en büyük fidye yazılım grubu sızıntısı
Black Basta Sohbet Günlüğü sızıntısı, Black Basta selefi Conti’nin 2022’de bir kaynak kodu sızıntısıyla vurulduğundan, fidye yazılımı grubuna çarpmanın en büyük sızıntısıdır.
Dolayısıyla, kavga kesinlikle eğlenceli ve grubun dinamiklerine ışık tutarken, ortaya çıkan birçok taktik detay, iş işi Black Basta ve diğerlerini benimseyebilen tehditleri durdurmak ve yanıtlamak olan tehdit istihbarat araştırmacıları ve güvenlik ekipleri için zengin bir veri kaynağı sağlar. taktikler.