Анализ современных киберпреступных группировок выявил существенное сходство в тактике использования модуля BackConnect (BC) при проведении атак. Обе группы, Black Basta и CACTUS, применяют этот инструмент для установления постоянного удалённого контроля над заражёнными системами.
Модуль BackConnect, впервые задокументированный в конце января 2025 года, предоставляет возможность выполнения удалённых команд и кражи конфиденциальных данных, включая учетные записи, финансовую информацию и личные файлы. Благодаря пересечениям с загрузчиком QakBot, данный модуль отслеживается как QBACKCONNECT, а Sophos присвоил его кластеру имя STAC5777. Документация ведётся как команда киберразведки Walmart, так и специалисты Sophos.
Методы атаки Black Basta включают рассылку массовых электронных писем с целью привлечь жертв. Злоумышленники маскируются под техническую поддержку, убеждая пользователей установить программу Quick Assist, что открывает доступ к их машинами и позволяет провести дальнейшие действия.
После успешного внедрения через Quick Assist злоумышленники осуществляют побочный запуск вредоносного загрузчика REEDBED, представленного в виде файла winhttp.dll. Данный файл распространяется через OneDriveStandaloneUpdater.exe – легитимное обновление Microsoft OneDrive – и используется для дешифровки и активации модуля BackConnect.
Анализ атак CACTUS, проведённый компанией Trend Micro, выявил похожее развертывание модуля BackConnect, сопровождаемое дополнительными этапами постэксплуатации: перемещением внутри сети и эксфильтрацией данных. Попытка массового шифрования сети оказалась неудачной, что свидетельствует о сохранении общих элементов методологии между группами.
Утечки внутренних чатов группы Black Basta раскрыли подробности работы преступной организации. Внутри группировки обменивались актуальными учётными данными, полученными, зачастую, из логов программ для кражи информации, а первичный доступ осуществлялся через RDP-порталы и VPN-соединения. Эти данные подчёркивают высокий уровень подготовки участников и их финансовую мотивацию.
Общие подходы к атакующим операциям включают использование голосового фишинга (vishing), работу с Quick Assist и развертывание модуля BackConnect. Анализ Trend Micro указывает на переход некоторых участников Black Basta в ряды группы CACTUS, что демонстрирует эволюцию тактик и адаптацию к новым условиям киберпреступности.
Изображение носит иллюстративный характер
Модуль BackConnect, впервые задокументированный в конце января 2025 года, предоставляет возможность выполнения удалённых команд и кражи конфиденциальных данных, включая учетные записи, финансовую информацию и личные файлы. Благодаря пересечениям с загрузчиком QakBot, данный модуль отслеживается как QBACKCONNECT, а Sophos присвоил его кластеру имя STAC5777. Документация ведётся как команда киберразведки Walmart, так и специалисты Sophos.
Методы атаки Black Basta включают рассылку массовых электронных писем с целью привлечь жертв. Злоумышленники маскируются под техническую поддержку, убеждая пользователей установить программу Quick Assist, что открывает доступ к их машинами и позволяет провести дальнейшие действия.
После успешного внедрения через Quick Assist злоумышленники осуществляют побочный запуск вредоносного загрузчика REEDBED, представленного в виде файла winhttp.dll. Данный файл распространяется через OneDriveStandaloneUpdater.exe – легитимное обновление Microsoft OneDrive – и используется для дешифровки и активации модуля BackConnect.
Анализ атак CACTUS, проведённый компанией Trend Micro, выявил похожее развертывание модуля BackConnect, сопровождаемое дополнительными этапами постэксплуатации: перемещением внутри сети и эксфильтрацией данных. Попытка массового шифрования сети оказалась неудачной, что свидетельствует о сохранении общих элементов методологии между группами.
Утечки внутренних чатов группы Black Basta раскрыли подробности работы преступной организации. Внутри группировки обменивались актуальными учётными данными, полученными, зачастую, из логов программ для кражи информации, а первичный доступ осуществлялся через RDP-порталы и VPN-соединения. Эти данные подчёркивают высокий уровень подготовки участников и их финансовую мотивацию.
Общие подходы к атакующим операциям включают использование голосового фишинга (vishing), работу с Quick Assist и развертывание модуля BackConnect. Анализ Trend Micro указывает на переход некоторых участников Black Basta в ряды группы CACTUS, что демонстрирует эволюцию тактик и адаптацию к новым условиям киберпреступности.
