Black Basta fidye yazılımı operasyonuna bağlı eski üyeler, hedef ağlara kalıcı erişim sağlamak için denenmiş ve test edilmiş e-posta bombalaması ve Microsoft Teams kimlik avı yaklaşımına bağlı kaldıkları gözlendi.
Reliaquest, Hacker News ile paylaşılan bir raporda, “Son zamanlarda, saldırganlar Python Script uygulamasını, kötü niyetli yükler almak ve dağıtmak için curl istekleri kullanarak bu tekniklerin yanında tanıttı.” Dedi.
Geliştirme, tehdit aktörlerinin bu Şubat ayının başlarında iç sohbet günlüklerinin halka açık sızmasından sonra büyük bir darbe ve düşüşe sahip olmasına rağmen, pivot ve yeniden gruplamaya devam ettiklerinin bir işaretidir.
Siber güvenlik şirketi, Şubat ve Mayıs 2025 arasında gözlemlenen takımların kimlik avı saldırılarının yarısının Onmicrosoft’tan kaynaklandığını söyledi[.]COM alanları ve ihlal edilen alanlar aynı dönemde saldırıların% 42’sini oluşturdu. İkincisi çok daha gizlidir ve tehdit aktörlerinin saldırılarında meşru trafiği taklit etmesine izin verir.
Geçen ay olduğu gibi, Reliaquest’in finans ve sigorta sektöründeki müşterileri ve inşaat sektörü, şüpheli olmayan kullanıcıları kandırmak için yardım masası personeli olarak maskelenerek ekipleri kimlik avı kullanılarak hedeflendi.
Şirket, “Black Basta’nın veri sızıntısı sitesinin kapanması, taktiklerinin sürekli kullanılmasına rağmen, eski bağlı kuruluşların muhtemelen başka bir Raas grubuna göç ettiğini ya da yeni bir grup oluşturduğunu gösteriyor.” “En olası senaryo, eski üyelerin, sızdırılan sohbetlerde Kaktüs’e 500-600 bin dolarlık bir ödeme atıfta bulunarak Black Basta lideri Trump tarafından kanıtlanan Cactus Raas Grubuna katılmış olmasıdır.”
Bununla birlikte, Kaktüsün Mart 2025’ten beri veri sızıntı sitesinde herhangi bir kuruluş seçmediğini belirtmek gerekir, bu da grubun dağıldığını veya kasten kendine dikkat çekmekten kaçınmaya çalıştığını gösterir. Başka bir olasılık, bağlı kuruluşların Blacklock’a taşınmasıdır, bu da Dragonforce adlı bir fidye yazılım karteli ile işbirliği yapmaya başladığına inanılır.
Tehdit aktörleri ayrıca, Quick Assist ve Anydesk aracılığıyla ilk uzak masaüstü oturumlarına ekipler kimlik avı tekniği aracılığıyla elde edilen erişimi kullanan ve daha sonra bir uzak adresten kötü niyetli bir Python betiği indirerek ve komut ve kontrol (C2) iletişimini kurmak için yürüttüğü tespit edildi.
Reliaquest, “Bu saldırıda Python senaryolarının kullanılması, gelecekteki takımların kimlik avı kampanyalarında daha yaygın hale gelmesi muhtemel gelişen bir taktiği vurgulamaktadır.” Dedi.
Siyah Basta tarzı sosyal mühendislik, e-posta spamlama, ekip kimlik avı ve hızlı asistlerin bir kombinasyonunu kullanma stratejisi, o zamandan beri Blacksuit fidye yazılımı grubu arasında alıcıları buldu ve Blacksuit iştiraklerinin ya yaklaşımı benimseme veya grubun üyelerini emme olasılığını artırdı.
Rapid7’ye göre, başlangıç erişim, daha önce Black Basta saldırılarında kimlik bilgisi bir hasatçı olarak hareket etmek üzere konuşlandırılan Java tabanlı bir sıçanın güncellenmiş varyantlarını indirmek ve yürütmek için bir yol görevi görür.
Şirket, “Java kötü amaçlı yazılımı, hem Google hem de Microsoft tarafından sağlanan bulut tabanlı dosya barındırma hizmetlerini ilgili bulut hizmeti sağlayıcısının (CSP) sunucuları aracılığıyla proxy komutlarına kötüye kullanıyor.” Dedi. “Zamanla, kötü amaçlı yazılım geliştiricisi, doğrudan vekil bağlantılardan (yani yapılandırma seçeneği boş bırakılır veya mevcut değil), OneDrive ve Google tabakalarına ve en son Google Drive’ı kullanmaya doğru kaydı.”
Kötü amaçlı yazılım paketlerinin yeni yinelemesi, enfekte ana bilgisayar ve uzak bir sunucu arasında dosyaları aktarmak, bir SOCKS5 proxy tüneli başlatmak, web tarayıcılarında depolanan kimlik bilgilerini çalmak, sahte bir Windows oturum açma penceresi sunmak ve verilen bir URL’den bir Java sınıfı indirmek ve bellekte çalıştırmak.
Birkaç hafta önce Sophos tarafından detaylandırılan sabah 3 fidye yazılımı saldırıları gibi, müdahaleler de QDoor adı verilen bir tünel arka kapının, daha önce Blacksuit’e atfedilen bir kötü amaçlı yazılım ve muhtemelen SSH yardımcı programı için özel bir yükleyici olan bir pas yükü ile karakterize edilir ve Anubis olarak adlandırılır.
Bulgular, fidye yazılımı manzarasındaki bir dizi gelişmenin ortasında geliyor –
- Dağılmış Örümcek olarak bilinen finansal olarak motive olmuş grup, yönetilen hizmet sağlayıcılarını (MSP’ler) ve BT satıcılarını, bazı durumlarda, ilk erişimi kazanmak için küresel BT yüklenici Tata danışmanlık hizmetleri (TCS) ‘den ödün verilen hesaplardan yararlanan tek bir uzlaşma yoluyla “teke çok” bir yaklaşımın bir parçası olarak hedeflemiştir.
- Skulded Spider, çok faktörlü kimlik doğrulamasını (MFA) atlamak için EvilGinX kimlik avı kitini kullanarak sahte oturum açma sayfaları oluşturdu ve en son ALPHV (aka Blackcat), Ransomhub ve son zamanlarda DragonForce gibi büyük fidye yazılımları operatörleri ile Simplehelites’i kullanan simple Masspt’i hedefleyen simplecty’yi kullanma.
- Qilin (AKA Gündemi ve Phantom Mantis) Ransomware operatörleri, Mayıs ve Haziran 2025 arasında Fortinet Fortigate güvenlik açıklarını (örneğin, CVE-2024-21762 ve CVE-2024-55591) silahlandırarak birkaç kuruluşu hedefleyen koordineli bir saldırı kampanyası başlattılar.
- Oyun (diğer adıyla Balloonfly ve PlayCrypt) Ransomware grubunun, 2022 ortasında ortaya çıkmasından bu yana Mayıs 2025 itibariyle 900 varlıktan ödün verdiği tahmin ediliyor. Bazı saldırılar, güvenlik açığının kamuya açıklanmasının ardından ABD tabanlı birçok işletmeyi hedeflemek için SimpleHelp kusurlarından (CVE-2024-57727) yararlandı.
- VanHelsing fidye yazılımı grubunun yöneticisi, geliştiriciler ve liderlik arasındaki iç çatışmalara atıfta bulunarak rampa forumundaki tüm kaynak kodunu sızdırdı. Sızan detaylar arasında Tor Keys, Fidye Yazılımı Kaynak Kodu, Yönetici Web Paneli, Sohbet Sistemi, Dosya Sunucusu ve tüm veritabanına sahip Blog, Prodaft’a göre.
- Interlock Fidye Yazılım Grubu, Ocak ve Mart 2025’te Birleşik Krallık’ta yerel yönetim ve yükseköğretim organizasyonlarını hedefleyen saldırıların bir parçası olarak daha önce belgelenmemiş bir JavaScript uzaktan erişim Truva atı kullandı.
Quorum Cyber, “Sıçanlar, saldırganların enfekte sistemler üzerinde uzaktan kumanda kazanmalarını sağlayarak dosyalara erişmelerine, etkinlikleri izlemelerine ve sistem ayarlarını manipüle etmelerini sağlıyor.” Dedi. “Tehdit aktörleri, bir kuruluşta kalıcılığı korumak ve çevreye ek takım veya kötü amaçlı yazılım sunmak için bir sıçan kullanabilirler. Ayrıca verilere erişebilir, manipüle edebilir, yok edebilir veya söndürebilirler.”