通过分析泄露的内部通信日志，安全研究人员正在拼凑出一个最臭名昭著的勒索软件组织如何渗透其受害者的细节。

图片来源：DC Studio / Shutterstock

在过去的几年中，Black Basta是最成功的勒索软件组织之一，最近其内部通讯发生了严重泄露。这些日志揭示了这一高知名度勒索软件组织的剧本及其首选获取网络初始访问权限的方法。

黑Basta的初始访问和凭证利用策略

补丁管理公司Qualys的研究人员在对泄露日志的分析中写道：“Black Basta使用的主要攻击向量包括扫描暴露的RDP（远程桌面协议）和VPN服务——通常依赖默认VPN凭证或暴力破解窃取的凭证来获得初始访问——以及在系统未打补丁时利用公开已知的CVE。”

同时，网络威胁情报公司KELA观察到泄露日志中存在的3000个独特凭证与之前信息窃取恶意软件的数据转储之间的相关性，表明其与其他收集并出售此类数据的威胁组织有关联。

Qualys的研究人员写道：“KELA看到这些攻击者利用漏洞和网络钓鱼/垃圾邮件活动获取凭证，以及使用被攻陷的电子邮件凭证，然后在电子邮件对话中寻找远程访问凭证。然后，这些凭证要么作为初始访问向量，要么用于横向移动阶段。”

最后，该组织经常依赖面向互联网设备的公开已知漏洞，尤其是那些已有概念验证利用的漏洞。根据漏洞情报公司VulnCheck的研究人员分析，泄露的Black Basta日志包含了62个独特的CVE。

利用公开漏洞和常见的错误配置

根据VulnCheck，日志中提到的62个CVE中有53个已知被公开利用，44个还出现在美国网络安全和基础设施安全局（CISA）维护的已知被利用漏洞（KEV）目录中。

日志中提到的一些漏洞虽然古老但仍然广泛存在，例如微软Office远程模板功能中的CVE-2022-30190远程代码执行漏洞，也称为Follina漏洞，已通过恶意Word附件被广泛利用。其他知名漏洞包括Log4Shell（CVE-2021-44228）、Spring4Shell（CVE-2022-22965）和ProxyNotShell（CVE-2022-41028，CVE-2022-41040）。

然而，根据通信日志，Black Basta通常也会迅速讨论新发布的漏洞，其中几个似乎在正式发布前就已经接触到了：Fortinet FortiOS（CVE-2024-23113）、Bricks Builder WordPress主题（CVE-2024-25600）和Exim Email（CVE-2023-42115）。

VulnCheck的研究人员还发现证据表明，Black Basta成员拥有开发新漏洞利用的资源，或者考虑从第三方购买零日漏洞利用。该组织还定期讨论各种进攻和防御性的网络安全工具。

Qualys的研究人员从日志中提取出一些Black Basta成员似乎针对的顶级错误配置。

从信息窃取到勒索软件的演变

信息窃取器是设计用来抓取存储在浏览器密码库和其他应用程序中的登录信息的恶意软件程序。这些威胁越来越多地以服务形式在犯罪论坛上提供，根据最近的一项研究，其流行度在过去一年增加了三倍。

KELA研究人员强调了一个例子，这些信息使Black Basta攻击者成功入侵了一家巴西软件和技术支持公司。证据表明，攻击者分享了来自公司的额外哈希凭证转储，表明他们正在进行横向移动。

研究人员写道：“这种从初始访问到数据盗窃和公开勒索的结构化方法，展示了Black Basta如何战略性地利用被攻陷的凭证、内部侦察和受害者画像来最大化其勒索软件活动的影响。”

参考来源：

Ransomware access playbook: What Black Basta’s leaked logs reveal