Black Basta and FIN7
براساس مشاهدات اخیر، عملیات باج افزار Black Basta با FIN7 مرتبط می باشد و Black Basta با استفاده از ابزارهای سفارشی، از جمله ابزارهای فرار از تشخیص هوپان (EDR)، فعالیت خود را ادامه می دهد که با توجه به بررسی های صورت گرفته، توسعه دهنده این ابزارهای فرار از تشخیص هوپان (EDR)، توسعه دهنده FIN7 نیز بوده است.
باج افزار Black Basta در آوریل 2022 پدیدار شد و تا سپتامبر 2022 بیش از 90 سازمان را مورد نفوذ قرار داد. سرعت و حجم حملات ثابت می کند که بازیگران پشت پرده Black Basta به خوبی سازماندهی شده می باشند. براساس تجزیه و تحلیل صورت گرفته از TTP های عملیاتی، Black Basta از چندین ابزار سفارشی که توسط یک یا چند توسعه دهنده FIN7، توسعه یافته است، استفاده نموده است. در ادامه فعالیت های اخیر Black Basta را مرحله به مرحله ذکر می نماییم:
فعالیت Initial Access باج افزار Black Basta
طبق مشاهدات، آلودگی Black Basta از طریق ارسال ایمیل و اسناد MS Office ارائه شد که با استفاده از آسیب پذیری اجرای کد از راه دور CVE-2022-30190 مورد سوءاستفاده قرار گرفت.
ورود اپراتور Black Basta
زمانی که اپراتور یا عامل Black Basta از طریق Qakbot Backdoor به قربانی متصل می شود، شناسایی انجام می پذیرد همچنین برای اسکن شبکه، Black Basta از اسکنر شبکه netscan.exe و SoftPerfect استفاده می نماید.
تکنیک های Privilege Escalation
بعد از شناسایی، Black Basta تلاش می کند امتیازات سطح Local و دامنه را از طریق اکسپلویت ها افزایش دهد. بر اساس مشاهدات، دو نسخه از اکسپلویت Zero Logon در حال استفاده می باشد که عبارتند از zero22.exe و zero.exe
همچنین قابل ذکر می باشد که Black Basta از آسیب پذیری PrintNightmare سوءاستفاده می نماید.
ابزارهای مدیریت از راه دور
اپراتور های Black Basta تعدادی از ابزارهای Rat را مورد استفاده قرار می دهند که عبارتند از Atera Agent ،GoToAsist ،Splashtop همچنین از SystemBC به عنوان پروکسی SOCKS5 TOR به منظور ارتباط، حذف داده ها و دانلود ماژول های مختلف استفاده می نماید.
Black Basta Lateral Movement
بازیگر Black Basta از روش های مختلفی برای Lateral Movement استفاده می کند و اسکریپت های مختلف را از طریق psexec در تمام نقاط پایانی زیرساخت های موردنظرش مستقر می سازد که این اسکریپت ها برای به حداکثر رساندن تاثیر باج افزار مورد استفاده قرار می گیرند.
Impair Defenses
فعالیتی از قبیل غیرفعال سازی Windows Defender از جمله مهمترین اقدامات در زمینه Impair Defenses می باشد. برطبق مشاهدات، از پارامتر DisableAntiSpyware برای غیرفعال سازی Windows Defender استفاده می شود همچنین از Uninstall-WindowsFeature-Name Windows-Defender برای حذف Windows Defender استفاده می شود.
Black Basta و اتصال FIN7
پس از تجزیه و تحلیل های صورت گرفته بر روی ابزارهای مورد استفاده Black Basta، مشخص گردید که در طول عملیات خود از یک Backdoor تحت عنوان BIRDDOG استفاده نموده است که در چندین عملیات توسط گروه FIN7 مورد استفاده قرار گرفته است.
راه هایی برای کاهش این خطر پذیری
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
- نظارت برفایروال ها برای مشاهده جهش های غیرعادی در داده هایی که از شبکه خارج می شوند
- ایجاد محدودیت برای دسترسی RDP و SMB بین host ها
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیت مخرب مرتبط با Black Basta
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Lateral Movement | Collection | Command and Control | Impact |
| Drive-by Compromise | Command and Scripting Interpreter | Account Manipulation | Abuse Elevation Control Mechanism | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Exploitation of Remote Services | Adversary-in-the-Middle | Application Layer Protocol | Account Access Removal |
| Exploit Public-Facing Application | Container Administration Command | BITS Jobs | Access Token Manipulation | Access Token Manipulation | Brute Force | Application Window Discovery | Internal Spearphishing | Archive Collected Data | Communication Through Removable Media | Data Destruction |
| External Remote Services | Deploy Container | Boot or Logon Autostart Execution | Boot or Logon Autostart Execution | BITS Jobs | Credentials from Password Stores | Browser Bookmark Discovery | Lateral Tool Transfer | Audio Capture | Data Encoding | Data Encrypted for Impact |
| Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Boot or Logon Initialization Scripts | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Remote Service Session Hijacking | Automated Collection | Data Obfuscation | Data Manipulation |
| Phishing | Inter-Process Communication | Browser Extensions | Create or Modify System Process | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Remote Services | Browser Session Hijacking | Dynamic Resolution | Defacement |
| Replication Through Removable Media | Native API | Compromise Client Software Binary | Domain Policy Modification | Deobfuscate/Decode Files or Information | Forge Web Credentials | Cloud Service Discovery | Replication Through Removable Media | Clipboard Data | Encrypted Channel | Disk Wipe |
| Supply Chain Compromise | Scheduled Task/Job | Create Account | Escape to Host | Deploy Container | Input Capture | Cloud Storage Object Discovery | Software Deployment Tools | Data from Cloud Storage Object | Fallback Channels | Endpoint Denial of Service |
| Trusted Relationship | Shared Modules | Create or Modify System Process | Event Triggered Execution | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Taint Shared Content | Data from Configuration Repository | Ingress Tool Transfer | Firmware Corruption |
| Valid Accounts | Software Deployment Tools | Event Triggered Execution | Exploitation for Privilege Escalation | Domain Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Use Alternate Authentication Material | Data from Information Repositories | Multi-Stage Channels | Inhibit System Recovery |
| System Services | External Remote Services | Hijack Execution Flow | Execution Guardrails | Multi-Factor Authentication Request Generation | Domain Trust Discovery | Data from Local System | Non-Application Layer Protocol | Network Denial of Service | ||
| User Execution | Hijack Execution Flow | Process Injection | Exploitation for Defense Evasion | Network Sniffing | File and Directory Discovery | Data from Network Shared Drive | Non-Standard Port | Resource Hijacking | ||
| Windows Management Instrumentation | Implant Internal Image | Scheduled Task/Job | File and Directory Permissions Modification | OS Credential Dumping | Group Policy Discovery | Data from Removable Media | Protocol Tunneling | Service Stop | ||
| Modify Authentication Process | Valid Accounts | Hide Artifacts | Steal Application Access Token | Network Service Discovery | Data Staged | Proxy | System Shutdown/Reboot | |||
| Office Application Startup | Hijack Execution Flow | Steal or Forge Kerberos Tickets | Network Share Discovery | Email Collection | Remote Access Software | |||||
| Pre-OS Boot | Impair Defenses | Steal Web Session Cookie | Network Sniffing | Input Capture | Traffic Signaling | |||||
| Scheduled Task/Job | Indicator Removal on Host | Unsecured Credentials | Password Policy Discovery | Screen Capture | Web Service | |||||
| Server Software Component | Indirect Command Execution | Peripheral Device Discovery | Video Capture | |||||||
| Traffic Signaling | Masquerading | Permission Groups Discovery | ||||||||
| Valid Accounts | Modify Authentication Process | Process Discovery | ||||||||
| Modify Cloud Compute Infrastructure | Query Registry | |||||||||
| Modify Registry | Remote System Discovery | |||||||||
| Modify System Image | Software Discovery | |||||||||
| Network Boundary Bridging | System Information Discovery | |||||||||
| Obfuscated Files or Information | System Location Discovery | |||||||||
| Plist File Modification | System Network Configuration Discovery | |||||||||
| Pre-OS Boot | System Network Connections Discovery | |||||||||
| Process Injection | System Owner/User Discovery | |||||||||
| Reflective Code Loading | System Service Discovery | |||||||||
| Rogue Domain Controller | System Time Discovery | |||||||||
| Rootkit | Virtualization/Sandbox Evasion | |||||||||
| Subvert Trust Controls | ||||||||||
| System Binary Proxy Execution | ||||||||||
| System Script Proxy Execution | ||||||||||
| Template Injection | ||||||||||
| Traffic Signaling | ||||||||||
| Trusted Developer Utilities Proxy Execution | ||||||||||
| Unused/Unsupported Cloud Regions | ||||||||||
| Use Alternate Authentication Material | ||||||||||
| Valid Accounts | ||||||||||
| Virtualization/Sandbox Evasion | ||||||||||
| Weaken Encryption | ||||||||||
| XSL Script Processing |