跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

Black Basta 勒索软件团伙使用 Qakbot 恶意软件渗透美国公司


CNHAT

推荐的帖子

Qakbot 恶意软件

位于美国的公司一直处于“激进的”Qakbot 恶意软件活动的接收端,该活动导致受感染网络上的 Black Basta 勒索软件感染。

Cybereason 研究人员 Joakim Kandefelt 和 Danielle Frankel在与黑客新闻分享的一份报告中说: “在最近的这次活动中,Black Basta 勒索软件团伙正在使用 QakBot 恶意软件创建初始入口点并在组织网络内横向移动。”

2022 年 4 月出现的 Black Basta 遵循久经考验的双重勒索方法,从目标公司窃取敏感数据,并以此为杠杆,通过威胁发布被盗信息来勒索加密货币支付。

这不是第一次观察到勒索软件团队使用 Qakbot(又名 QBot、QuackBot 或 Pinkslipbot)。上个月,趋势科技披露了类似的攻击,这些攻击需要使用 Qakbot 来提供Brute Ratel C4框架,而该框架又被用来放弃 Cobalt Strike。

黑巴斯塔勒索软件

Cybereason 观察到的入侵活动从等式中删除了 Brute Ratel C4,而是使用 Qakbot 直接在受感染环境中的多台机器上分发 Cobalt Strike。

攻击链从一封带有恶意磁盘映像文件的鱼叉式网络钓鱼电子邮件开始,该文件在打开时启动 Qbot 的执行,而 Qbot 则连接到远程服务器以检索 Cobalt Strike 有效载荷。

黑巴斯塔勒索软件

在此阶段,执行凭证收集和横向移动活动以将红队框架放置在多个服务器上,然后使用收集到的密码破坏尽可能多的端点并启动 Black Basta 勒索软件。

 

研究人员指出:“威胁行为者在不到两小时内获得了域管理员权限,并在不到 12 小时内转移到勒索软件部署,”并补充说,过去两周有 10 多个不同的客户受到了新一轮攻击的影响。

在以色列网络安全公司发现的两个实例中,入侵不仅部署了勒索软件,还通过禁用 DNS 服务将受害者锁定在他们的网络之外,以使恢复更具挑战性。

Black Basta 仍然是一个非常活跃的勒索软件攻击者。根据Malwarebytes收集的数据,勒索软件卡特尔仅在 2022 年 10 月就成功地将 25 家公司作为目标,排在LockBitKarakurtBlackCat 之后

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...