隨著網路犯罪集團的不斷演變,資安威脅態勢也在持續變化。近期資安業者ReliaQuest發布的最新研究報告顯示,儘管Black Basta勒索軟體組織在今年二月因內部聊天記錄外洩而遭受重創,但其前成員並未停止犯罪活動,反而轉戰其他勒索軟體集團,持續對全球企業造成威脅。
攻擊手法升級:結合傳統社交工程與新興技術
與Black Basta勒索軟體組織有關聯的前成員被發現仍在使用他們慣用的手法,包括電子郵件轟炸攻擊和Microsoft Teams釣魚,以建立對目標網路的持續性存取。
值得關注的是,近期攻擊者在這些技術基礎上開始執行Python腳本,使用cURL請求來獲取和部署惡意程式,顯示威脅行為者正在持續轉型和重組其攻擊策略。
根據ReliaQuest的觀察,在2025年2月至5月期間觀察到的Teams釣魚攻擊中,有一半來自
onmicrosoft[.]com域名,而被入侵的域名則佔同期攻擊的42%。後者更為隱蔽,使威脅行為者能在攻擊中冒充合法流量,大幅增加攻擊成功率。
上個月,ReliaQuest的金融保險業和建築業客戶遭到攻擊者利用Teams釣魚手法,攻擊者冒充技術支援人員對使用者進行詐騙,凸顯了此類攻擊手法的實際威脅性。
儘管Black Basta的資料外洩網站已關閉,但其攻擊手法仍被持續使用,這表明前成員可能已轉移至其他勒索即服務集團或組建新集團。根據外洩的聊天記錄顯示,最可能的情況是這些前成員已加入CACTUS RaaS集團,證據來自Black Basta領導人Trump提到向CACTUS支付了50-60萬美元。
值得注意的是,CACTUS自2025年3月以來尚未在其資料外洩網站上公布任何組織名稱,這表明該組織可能已解散或刻意保持低調。另一種可能是這些成員已轉移至BlackLock勒索軟體組織,據信BlackLock已開始與名為DragonForce的勒索軟體集團合作。
攻擊手法的傳承與擴散
研究人員發現,攻擊者利用Teams釣魚技術獲得存取權限後,建立遠端桌面連線,如:Quick Assist和AnyDesk,隨後從遠端伺服器下載並執行惡意Python腳本,以建立命令與控制(C2)通訊。此次攻擊中使用的Python腳本顯示了攻擊戰術的持續演變,預期此類手法將在未來的Teams釣魚活動中更頻繁出現。
值得關注的是,Black Basta式的社交工程策略,結合電子郵件轟炸、Teams釣魚和Quick Assist等工具,已被BlackSuit勒索軟體組織採用,這顯示BlackSuit可能已採納相關攻擊手法,或直接吸收了Black Basta的成員。
惡意程式技術演進
- Java RAT的雲端化趨勢:
根據資安業者Rapid7的分析,這種初始存取手法是攻擊者下載並執行升級版Java遠端存取木馬(RAT)的途徑,該木馬先前在Black Basta攻擊中被用作憑證竊取工具。這款Java惡意程式如今濫用Google和Microsoft提供的雲端檔案託管服務,透過這些雲服務供應商(CSP)的伺服器來轉發指令。
隨著時間推移,惡意程式開發者已從直接代理連線演變為使用OneDrive和Google試算表,最近則進一步簡化為僅使用Google Drive,顯示攻擊者在持續優化其技術手段。
- 新增功能威脅分析:
惡意程式的最新版本加入了多項新功能,包括在被感染電腦與遠端伺服器之間進行檔案傳輸、建立SOCKS5代理通道、竊取瀏覽器中儲存的帳密資訊、顯示假冒的Windows登入畫面,以及從特定網址下載Java類別並直接在記憶體中執行。
與Sophos不久前分析的凌晨3點勒索軟體攻擊手法相似,這些駭客行為也運用了與BlackSuit集團有關後門工具QDoor 、疑似用於SSH連線的Rust客製化載入程式,以及名為Anubis的Python遠控木馬。
勒索軟體生態系統的重大發展
- Scattered Spider的MSP攻擊策略
Scattered Spider駭客組織已鎖定各大資訊委外服務供應商(MSP)及IT廠商,採取「一次入侵,多重滲透」的策略,透過單一突破口滲透多個組織。某些案例中,攻擊者甚至利用被入侵的塔塔諮詢服務公司(TCS)帳號進行初始存取。
該組織使用Evilginx釣魚工具包建立假冒登入頁面,繞過多因素驗證(MFA),並與ALPHV(又稱BlackCat)、RansomHub和最近的DragonForce等主要勒索軟體營運商結盟,利用SimpleHelp遠端桌面軟體的漏洞對MSP發動精密攻擊。
- Qilin的協同入侵活動
Qilin(又稱Agenda及Phantom Mantis)勒索軟體營運商於2025年5月至6月間發起針對多個組織的協同入侵活動,利用Fortinet FortiGate的漏洞(如CVE-2024-21762和CVE-2024-55591)作為初始入侵點,顯示攻擊者對已知漏洞的快速利用能力。
- Play勒索軟體的大規模攻擊
Play(也被稱為Balloonfly和PlayCrypt)勒索軟體集團自2022年中開始活動以來,截至2025年5月,估計已成功攻擊超過900個組織。部分攻擊手法包括利用SimpleHelp的安全漏洞(CVE-2024-57727),在該漏洞公開後,迅速針對多家美國企業發起攻擊行動。
- VanHelsing的內部分裂
VanHelsing勒索軟體集團的管理員因內部開發團隊與領導階層的嚴重衝突,已在駭客論壇RAMP上公開整套原始碼。PRODAFT安全團隊指出,這次外洩包含敏感資料如TOR密鑰、勒索程式源碼、後台管理系統、通訊平台、檔案主機,甚至完整網站和資料庫都被公開。
- Interlock的地區性攻擊
Interlock勒索軟體組織今年第一季專門攻擊英國的地方政府與大專院校,透過社交工程散布新型JavaScript遠端控制木馬NodeSnake。這款透過釣魚郵件傳送的惡意程式能夠長期潛伏於系統中,並具備情報收集與遠端命令執行等進階功能。
RAT威脅的嚴重性
根據報告,遠端遙控木馬(RAT)能讓駭客從遠端完全掌控受感染系統,不僅可檢視檔案內容、監視使用者活動,還能變更系統設定。惡意攻擊者透過RAT可在企業網路中潛伏長期,並植入其他惡意工具或後門程式。更嚴重的是,他們能任意讀取、篡改、刪除或外洩組織重要資料。
面對這些不斷演進的威脅,企業組織應該加強以下防護措施:強化員工資安意識訓練、建立完善的多因素驗證機制、定期更新系統漏洞修補、監控異常網路活動,以及建立完整的事件應變計畫。
隨著勒索軟體集團的持續演變和重組,資安威脅態勢將持續變化,企業必須保持警覺並採取積極的防護措施,以應對這些不斷升級的網路安全挑戰。
本文轉載自TheHackerNews。