عوامل تهدید مرتبط با باجافزار Black Basta از اوایل اکتبر ۲۰۲۴ تاکتیکهای مهندسی اجتماعی خود را تغییر دادهاند و مجموعهای متفاوت از پیلودها مانند Zbot و DarkGate را توزیع میکنند.
Rapid7 گفت: کاربران در محیط هدف توسط عامل تهدید مورد حمله بمباران ایمیل قرار میگیرند که اغلب با ثبت نام ایمیل کاربر در لیستهای پستی متعدد به طور همزمان به دست می آید. بعد از بمباران ایمیل، عامل تهدید ضمن برقراری تماس اولیه با اهداف احتمالی در تیمهای مایکروسافت، وانمود میکنند که پرسنل پشتیبانی یا کارکنان IT سازمان هستند. از کاربرانی که در نهایت با عوامل تهدید وارد تعامل میشوند، نصب نرمافزارهای دسترسی از راه دور قانونی مانند AnyDesk، ScreenConnect، TeamViewer و Quick Assist مایکروسافت درخواست میشود.
سازنده ویندوز در حال ردیابی گروه مجرم سایبری تحت عنوان Storm-1811 است که به سوء استفاده از Quick Assist برای استقرار Black Basta میپردازد. همچنین تلاشهای عوامل باجافزار برای استفاده از کلاینت OpenSSH برای ایجاد reverse shell و ارسال QRکد مخرب به کاربر قربانی از طریق چتها شناسایی شده است تا احتمالاً اعتبار آنها را به بهانه افزودن یک دستگاه تلفن همراه قابل اعتماد به سرقت ببرند.
https://thehackernews.com/2024/12/black-basta-ransomware-evolves-with.html
