Бывшие участники группировки Black Basta продолжают использовать проверенные приёмы — массовую рассылку писем и фишинг через Microsoft Teams, чтобы закрепиться в сетях жертв и оставаться незамеченными.
«В последнее время злоумышленники расширили арсенал, добавив запуск Python-скриптов и cURL-запросы для загрузки и активации вредоносных модулей», — рассказали в компании ReliaQuest.
Это доказывает: несмотря на серьёзный урон репутации Black Basta и сокращение активности после утечки переписок в феврале, группа не сдается и продолжает менять тактику.
По данным экспертов, с февраля по май 2025 половина атак через Teams исходила с доменов onmicrosoft[.]com, а 42% — с уже взломанных доменов. Именно это позволяет злоумышленникам прятаться за видом легального трафика и оставаться незаметными.
До прошлого месяца финансисты, страховщики и строители регулярно сталкивались с фишингом в Teams, где киберпреступники представлялись сотрудниками службы поддержки, чтобы обмануть доверчивых пользователей.
«Хотя сайт утечек Black Basta закрыт, их методы продолжают жить — это либо говорит о переходе бывших участников к другой RaaS-группе, либо о создании собственного сообщества», — отмечают в ReliaQuest. «Самый вероятный вариант — их объединение с CACTUS. Об этом косвенно свидетельствует сообщение лидера Black Basta о выплате CACTUS от 500 до 600 тысяч долларов.»
Тем не менее, с марта 2025 CACTUS не публиковал новые компании на своём сайте с утечками. Это может указывать на распад группы или попытки слиться с фоном, чтобы избежать внимания. Возможно, бывшие аффилиаты ушли в BlackLock, который, по слухам, сотрудничает с рэйнсом DragonForce.
Злоумышленники также замечены в использовании доступа, полученного через Teams-фишинг, для организации удалённых сессий через Quick Assist и AnyDesk. Оттуда они загружают и запускают Python-скрипты с серверов злоумышленников для установки каналов управления (C2).
«Добавление Python-скриптов — это следующий шаг в развитии их тактики, и, скорее всего, мы увидим массовое применение такого подхода в будущих фишинговых кампаниях через Teams», — говорят эксперты.
Социальная инженерия Black Basta, объединяющая массовые рассылки, Teams-фишинг и Quick Assist, теперь стала частью арсенала группы BlackSuit, что может говорить как о заимствовании схемы, так и о частичном переходе участников из Black Basta в BlackSuit.
По информации Rapid7, через начальный доступ злоумышленники загружают и запускают обновлённые варианты удалённых Java RAT, которые ранее Black Basta использовали для сбора учетных данных.
«Новая вредоносная Java-программа пользуется облачными сервисами Google и Microsoft, используя их серверы как прокси для команд», — объяснили в Rapid7. «Со временем разработчики отказались от прямого проксирования, переключившись на OneDrive, Google Sheets и недавно — Google Drive.»
Новый вариант вредоносного ПО предлагает расширенный функционал: обмен файлами с удалённым сервером, создание SOCKS5-прокси, кражу учётных данных из браузеров, отображение фальшивого окна входа в Windows, а также загрузку и запуск Java-классов из заданного URL прямо в оперативной памяти.
Как и в недавних атаках группы 3AM, описанных Sophos, здесь используются «туннельный» бэкдор QDoor, связанный с BlackSuit, кастомный загрузчик SSH на Rust и Python-RAT под названием Anubis.
Кроме того, в мире программ-вымогателей наблюдаются такие заметные тенденции:
- Группа Scattered Spider нацелилась на MSP и IT-поставщиков, используя стратегию «один для всех» — одна удачная атака открывает доступ к множеству компаний. Часто они эксплуатируют взломанные аккаунты IT-подрядчика Tata Consultancy Services (TCS) для первичного проникновения.
- Scattered Spider создаёт фальшивые страницы входа с помощью фишинг-набора Evilginx, чтобы обходить многофакторную аутентификацию (MFA), и наладила сотрудничество с крупными группировками ALPHV (BlackCat), RansomHub и DragonForce для проведения сложных атак с использованием уязвимостей SimpleHelp.
- Операторы Qilin (известные как Agenda и Phantom Mantis) в мае–июне 2025 провели скоординированную кампанию, используя уязвимости Fortinet FortiGate (CVE-2024-21762, CVE-2024-55591) для взлома нескольких организаций.
- Группа Play (Balloonfly, PlayCrypt) с середины 2022 года взломала около 900 целей, включая множество американских компаний, используя публично раскрытые уязвимости SimpleHelp (CVE-2024-57727).
- Администратор VanHelsing обнародовал исходный код ransomware на форуме RAMP, спровоцировав конфликт между разработчиками и руководством. Утечка включает TOR-ключи, код программы, админ-панель, чат, файловый сервер и базу блога.
- Группа Interlock применяла новую JavaScript-бэкдор NodeSnake при атаках на органы местного самоуправления и образовательные учреждения Великобритании в январе и марте 2025 года. Этот троян, распространяемый через фишинг, обеспечивает глубокий и постоянный доступ, разведку системы и удалённое управление.
«Удалённые трояны (RAT) дают злоумышленникам полный контроль над заражёнными компьютерами: доступ к файлам, слежение за действиями пользователя и изменение системных настроек», — пояснили в Quorum Cyber. «С их помощью атакующие могут закрепиться в сети, установить дополнительное ПО и красть или уничтожать данные.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru