Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Обнаружена возможная связь между группировками Black Basta и CACTUS

05/03/25

hack148-1

Исследователи Trend Micro обнаружили, что киберпреступные группировки, использующие программы-вымогатели Black Basta и CACTUS, применяют один и тот же инструмент для удалённого управления заражёнными устройствами. Речь идёт о модуле BackConnect (BC), который позволяет злоумышленникам сохранять контроль над системой после её компрометации. Этот факт может указывать на связь между двумя группами или даже на переход участников Black Basta в состав CACTUS, пишут в Securitylab.

Специалисты пояснили, что после проникновения этот инструмент даёт злоумышленникам широкие возможности удалённого управления, включая выполнение команд на заражённом устройстве. Это позволяет похищать конфиденциальные данные, такие как учётные записи, финансовую информацию и личные файлы.

BC-модуль, получивший обозначение QBACKCONNECT из-за пересечений с загрузчиком QakBot, впервые был подробно описан в январе 2025 года экспертами Walmart Cyber Intelligence и Sophos. Sophos присвоила ему кодовое название STAC5777.

За последний год атаки с использованием Black Basta всё чаще включали технику Email Bombing, вынуждая жертв устанавливать Quick Assist после получения запроса от злоумышленников, выдающих себя за сотрудников технической поддержки. Доступ использовался для загрузки вредоносной библиотеки «winhttp.dll» под названием REEDBED через «OneDriveStandaloneUpdater.exe», легитимный процесс обновления OneDrive. Затем загруженный файл расшифровывал и запускал BC-модуль.

Специалисты Trend Micro обнаружили, что CACTUS применял ту же методику для развёртывания BackConnect. Однако группа также использовала дополнительные техники постэксплуатации, такие как боковое перемещение по сети и эксфильтрация данных. Попытки шифрования файлов в одной из атак закончились неудачей.

Схожесть тактик стала особенно важной после утечки внутренней переписки Black Basta, которая раскрыла организационную структуру группировки. В ходе анализа выяснилось, что участники обменивались актуальными учётными данными, полученными из логов вредоносного ПО. В качестве точек первоначального проникновения использовались RDP-порталы и VPN-доступ.

Trend Micro отмечает, что злоумышленники применяют сочетание голосового фишинга (вишинга), Quick Assist как инструмента удалённого управления и BackConnect для доставки Black Basta. Схожесть методик указывает на возможное перетекание участников из одной группировки в другую, что подтверждается анализом используемых тактик и инструментов.

Темы:УгрозыTrend MicroВымогателиверсии преступников
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...