Black Bastaランサムウェアの一団は、回復力と常に変化する空間への適応能力を示しており、新しいカスタムツールや戦術を使用して検知を回避し、ネットワーク全体に広がっている。
Black Bastaは2022年4月から活動しているランサムウェアの運営者で、世界中の企業に対して500回以上の攻撃を成功させています。
このランサムウェア集団は、データの窃盗と暗号化を組み合わせた二重の恐喝戦略に従っており、数百万単位の多額の身代金の支払いを要求する。このランサムウェア集団は以前、QBotボットネットと提携し、企業ネットワークへの初期アクセスを獲得していた。
しかし、QBotボットネットが法執行機関によって妨害された後、Mandiantの報告によると、ランサムウェア一味は企業ネットワークに侵入するために新たなパートナーシップを構築する必要がありました。
さらに、脅威行為者を UNC4393 として追跡している Mandiant は、Black Basta の侵入に使用された新しいマルウェアとツールを特定し、進化と回復力を実証しています。
Black Bastaのランサムウェア集団は、Veolia North America、Hyundai Motor Europe、Keytronicといった有名な企業に侵入し、これまで活発な1年を過ごしてきました。
この脅威グループの巧妙さは、Windowsの特権昇格(2024-26169)やVMware ESXiの認証バイパスの欠陥(CVE-2024-37085)など、ゼロデイ脆弱性エクスプロイトにアクセスできることが多いという事実にも反映されている。
新しい Black Basta の手口とツール
2023年後半にFBIと司法省がQBotインフラストラクチャをダウンさせた後、ブラック・バスタは他の初期アクセス配信クラスタ、特にDarkGate マルウェアを配信するクラスタに目を向けました。
その後、ブラック・バスタは、マルバタイジングを通じて配信される汎用性の高いバックドア型マルウェアであるSilentNightの使用に切り替え、初期アクセスの主な方法としてフィッシングから脱却しました。
Mandiantによると、Black Bastaは徐々に、一般に公開されているツールの使用から、内部で開発されたカスタム・マルウェアの使用に切り替えています。
ソースはこちら:マンディアント
2024年初頭、UNC4393は、DawnCryと名付けられたカスタムメモリオンリーのドロッパーを展開することが確認されました。このドロッパーは、多段階感染を開始し、DaveShellが続き、最終的にPortYard トンネラーに至りました。
PortYardもカスタムツールで、Black Bastaのコマンド&コントロール(C2)インフラへの接続を確立し、トラフィックをプロキシします。
Black Bastaが最近の活動で使用したその他の注目すべきカスタムツールは以下のとおりです:
- CogScan:ネットワーク上で利用可能なホストのリストを収集し、システム情報を収集するために使用される.NET偵察ツール。
- SystemBC:TCP上のカスタム・バイナリ・プロトコルを使用して、C2サーバーからプロキシ関連のコマンドを取得するトンネラー。
- KnockTrock:ネットワーク共有上にシンボリックリンクを作成し、BASTA ランサムウェアの実行ファイルを実行する .NET ベースのユーティリティで、新しく作成されたシンボリックリンクへのパスを提供します。
- KnowTrap: C/C++で書かれたメモリ専用のドロッパーで、メモリ内で追加のペイロードを実行することができる。
上記と組み合わせると、Black Bastaは、SilentNightをダウンロードするためのWindows certutilコマンドラインユーティリティや、データを流出させるためのRcloneツールなど、最新の攻撃において「その土地で生きている」バイナリや容易に入手可能なツールを使い続けています。
全体として、Black Bastaは依然として重要な世界的脅威であり、ランサムウェアの分野におけるトッププレーヤーの1つです。
Comments