Black Basta 勒索软件团伙使用 Qakbot 恶意软件渗透美国公司

位于美国的公司一直处于“激进的”Qakbot 恶意软件活动的接收端，该活动导致受感染网络上的 Black Basta 勒索软件感染。

Cybereason 研究人员 Joakim Kandefelt 和 Danielle Frankel在与黑客新闻分享的一份报告中说： “在最近的这次活动中，Black Basta 勒索软件团伙正在使用 QakBot 恶意软件创建初始入口点并在组织网络内横向移动。”

2022 年 4 月出现的 Black Basta 遵循久经考验的双重勒索方法，从目标公司窃取敏感数据，并以此为杠杆，通过威胁发布被盗信息来勒索加密货币支付。

这不是第一次观察到勒索软件团队使用 Qakbot（又名 QBot、QuackBot 或 Pinkslipbot）。上个月，趋势科技披露了类似的攻击，这些攻击需要使用 Qakbot 来提供Brute Ratel C4框架，而该框架又被用来放弃 Cobalt Strike。

Cybereason 观察到的入侵活动从等式中删除了 Brute Ratel C4，而是使用 Qakbot 直接在受感染环境中的多台机器上分发 Cobalt Strike。

攻击链从一封带有恶意磁盘映像文件的鱼叉式网络钓鱼电子邮件开始，该文件在打开时启动 Qbot 的执行，而 Qbot 则连接到远程服务器以检索 Cobalt Strike 有效载荷。

在此阶段，执行凭证收集和横向移动活动以将红队框架放置在多个服务器上，然后使用收集到的密码破坏尽可能多的端点并启动 Black Basta 勒索软件。

研究人员指出：“威胁行为者在不到两小时内获得了域管理员权限，并在不到 12 小时内转移到勒索软件部署，”并补充说，过去两周有 10 多个不同的客户受到了新一轮攻击的影响。

在以色列网络安全公司发现的两个实例中，入侵不仅部署了勒索软件，还通过禁用 DNS 服务将受害者锁定在他们的网络之外，以使恢复更具挑战性。

Black Basta 仍然是一个非常活跃的勒索软件攻击者。根据Malwarebytes收集的数据，勒索软件卡特尔仅在 2022 年 10 月就成功地将 25 家公司作为目标，排在LockBit、Karakurt和BlackCat 之后。