新たな調査により、Black BastaとCactusランサムウェアギャング間のさらなるつながりが明らかになり、両グループのメンバーは、同じソーシャルエンジニアリング攻撃と、企業ネットワークへのエクスプロイト後のアクセスにBackConnectプロキシマルウェアを利用していることが判明した。
1月、Zscalerは、新しいDNSトンネリング機能と思われる機能を含むZloaderマルウェアのサンプルを発見しました。Walmartがさらに調査を進めたところ、ZloaderはBackConnectと呼ばれる新しいプロキシマルウェアをドロップしており、このマルウェアにはQbot(QakBot)へのコード参照が含まれていることが判明しました。
BackConnectは、侵害されたサーバーにリモートアクセスするためのプロキシツールとして動作するマルウェアです。BackConnectを使用することで、サイバー犯罪者はトラフィックをトンネル化し、活動を難読化し、検知されることなく被害者の環境内で攻撃をエスカレートさせることができます。
Zloader、Qbot、BackConnectのいずれも、Black Bastaランサムウェアの活動に関連していると考えられており、メンバーはマルウェアを利用して企業ネットワークに侵入し、拡散している。
これらの結びつきは、最近BlackBastaのデータ流出によって、ランサムウェア一味のマネージャーとQbotの開発者と思われる人物との間の会話を含む、作戦内部の会話が暴露されたことによって、さらに強化されている。
リンク
ブラックバスタは2022年4月に発足したランサムウェア・ギャングである。このギャングには、ソースコードと内部会話の大規模なデータ流出に見舞われた後、2022年5月に活動を停止したConti Ransomwareギャングのメンバーが含まれていると考えられています。
このランサムウェア一味は、歴史的にQakbotを使用して企業ネットワークへの初期アクセスを獲得してきた。しかし、2023年の法執行機関の活動によってQbotの活動が中断された後、Black Bastaの活動はネットワークに侵入するための代替マルウェアを探していました。
同グループがBackConnectに軸足を移したことは、Qbotの作戦に関係する開発者とまだ連携していることを示唆しています。
トレンドマイクロの新しいレポートでは、Cactusランサムウェアグループも攻撃にBackConnectを利用していることが判明しており、両グループのメンバーが重複している可能性が示唆されています。
トレンドマイクロが確認したBlack BastaとCactusの攻撃では、脅威行為者は、一般的にBlack Bastaに関連する手口である、圧倒的な数の電子メールをターゲットに浴びせるという同じソーシャルエンジニアリング攻撃を利用していました。
その後、脅威者はITヘルプデスクの従業員を装ってMicrosoft Teamsを通じてターゲットに連絡し、最終的に被害者を騙してWindows Quick Assist経由でリモートアクセスを提供させます。
Black BastaとCactusの攻撃フローは同一ではありませんが、非常に類似しており、トレンドマイクロは、Cactusの脅威行為者が通常Black Bastaに関連するコマンド&コントロールサーバを利用していることを発見しました。
トレンドマイクロ
Cactusランサムウェアは2023年初頭に出現し、その後Black Bastaと同様の手口でさまざまな組織を標的にしています。
Cactusに関するTrend Microの以前のレポートでも、2つのランサムウェアギャング間のリンクが示されており、CactusはBlack Bastaランサムウェア攻撃でしばしば見られたTotalExecと呼ばれるPowerShellスクリプトを利用していました。
さらに、Black Bastaランサムウェアギャングは、当初はCactusランサムウェア攻撃に特有の暗号化ルーチンを採用し、両グループの結びつきをさらに強めていました。
戦術の共有、BackConnect、およびその他の操作上の類似点から、CactusランサムウェアがBlack Bastaのリブランドなのか、それとも単にメンバー間の重複なのかについて疑問が投げかけられている。
しかし、Black Bastaは2024年12月以来、徐々に衰退しており、2025年の大部分までリークサイトはオフラインであったことが分かっている。
Black Bastaのメンバーの多くは、すでにCactusのような他のランサムウェア・ギャングに移籍し始めており、今回のデータ流出が最後のとどめを刺したと考えられている。
Comments