MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

Black Basta’s old affiliates are back


أعضاء سابقون في Black Basta يستخدمون Microsoft Teams وسكربتات بايثون في هجمات 2025

رُصد أعضاء سابقون مرتبطون بعملية الفدية Black Basta وهم يواصلون استخدام أساليبهم المعروفة مثل قصف البريد الإلكتروني (email bombing) وهجمات التصيد عبر Microsoft Teams من أجل إنشاء وصول دائم إلى الشبكات المستهدفة.

وذكرت شركة ReliaQuest في تقرير لها: "مؤخرًا، بدأ المهاجمون في تنفيذ سكربتات بايثون إلى جانب هذه التقنيات، باستخدام أوامر cURL لجلب ونشر حمولات خبيثة."

ويشير هذا التطور إلى أن الجهات المهددة تواصل التكيف وإعادة التنظيم، على الرغم من الضربة القوية التي تلقاها اسم Black Basta بعد تسريب سجلات المحادثات الداخلية في فبراير الماضي.

وقالت شركة الأمن السيبراني إن نصف هجمات التصيد عبر Teams التي تم رصدها بين فبراير ومايو 2025 جاءت من نطاقات onmicrosoft[.]com، بينما شكّلت النطاقات المخترقة 42٪ من الهجمات خلال نفس الفترة — وهي طريقة أكثر تمويهًا وتسمح للمهاجمين بتقليد حركة مرور شرعية.

في مايو الماضي، استهدفت هجمات التصيد عبر Teams عملاء ReliaQuest في قطاعي المالية والبناء، من خلال انتحال شخصية موظفي الدعم الفني لخداع المستخدمين.

وأضاف التقرير: "إغلاق موقع تسريبات بيانات Black Basta، رغم استمرار استخدام تكتيكاته، يشير إلى أن شركاء المجموعة السابقين انتقلوا على الأرجح إلى مجموعة فدية أخرى، أو أسسوا مجموعة جديدة. وأقرب الاحتمالات هو انضمامهم إلى مجموعة CACTUS، وفقًا لتسريبات تشير إلى دفعة مالية بقيمة 500–600 ألف دولار من قائد Black Basta إلى CACTUS."

ومع ذلك، لم تعلن CACTUS عن أي ضحايا في موقع تسريباتها منذ مارس 2025، ما يشير إلى احتمال تفككها أو تجنّبها للفت الأنظار. ومن المحتمل أيضًا أن يكون الشركاء السابقون قد انتقلوا إلى BlackLock، والتي يُعتقد أنها بدأت التعاون مع كارتل فدية يُعرف باسم DragonForce.

شوهد المهاجمون وهم يستخدمون وصول Teams لبدء جلسات تحكم عن بُعد عبر Quick Assist وAnyDesk، ثم تنزيل سكربت بايثون خبيث من عنوان بعيد وتنفيذه لإنشاء اتصال تحكم وسيطرة (C2).

وقالت ReliaQuest: "استخدام سكربتات بايثون في هذه الهجمات يُبرز تطورًا في التكتيكات من المرجح أن ينتشر أكثر في حملات التصيد عبر Teams قريبًا."

وقد اعتمدت مجموعة BlackSuit أيضًا على نفس استراتيجية الهندسة الاجتماعية الخاصة بـ Black Basta، من خلال الدمج بين قصف البريد، تصيد Teams، وQuick Assist — مما يثير احتمال أنهم تبنوا نفس النهج أو ضمّوا أعضاء من Black Basta.

ووفقًا لشركة Rapid7، فإن الوصول الأولي يستخدم لتنزيل وتشغيل نسخ محدّثة من أداة تحكم عن بعد Java-based RAT، والتي كانت تُستخدم سابقًا لجمع بيانات اعتماد المستخدمين في هجمات Black Basta.

وأضافت الشركة: "البرمجية الخبيثة الجديدة تستغل خدمات التخزين السحابي مثل Google وMicrosoft لنقل الأوامر عبر خوادم مزودي الخدمة، بعد أن تم التخلي عن البروكسيات المباشرة لصالح OneDrive وGoogle Sheets، وأخيرًا Google Drive."

الإصدار الجديد من البرمجية يحتوي على ميزات إضافية مثل نقل الملفات، إنشاء نفق SOCKS5، سرقة بيانات اعتماد المتصفحات، عرض شاشة تسجيل دخول وهمية لنظام ويندوز، وتنزيل وتشغيل فئة Java مباشرة في الذاكرة.

مثل هجمات 3AM ransomware التي وثقتها Sophos، فإن هذه الاختراقات تتضمن أيضًا أداة خلفية للتنقل تُعرف باسم QDoor، وهي برمجية خبيثة نُسبت سابقًا إلى BlackSuit، إلى جانب حمولة بلغة Rust يُعتقد أنها أداة تحميل مخصصة لـ SSH، وسكربت بايثون يُعرف باسم Anubis.

تطورات أخرى في مشهد برامج الفدية

  • Scattered Spider: استهدفت مزودي الخدمات المدارة (MSPs) وموردي تكنولوجيا المعلومات بهجمات "من واحد إلى كثير"، مستخدمة حسابات مخترقة من شركة TCS للوصول المبدئي.
  • Scattered Spider: أنشأت صفحات تسجيل دخول مزيفة باستخدام أدوات Evilginx لتجاوز MFA، وتعاونت مع مجموعات فدية مثل ALPHV (BlackCat) وRansomHub وDragonForce.
  • Qilin (Agenda/Phantom Mantis): أطلقت حملة منسقة تستهدف عدة مؤسسات من مايو إلى يونيو 2025 عبر استغلال ثغرات في Fortinet FortiGate (مثل CVE-2024-21762 وCVE-2024-55591).
  • Play (Balloonfly/PlayCrypt): اخترقت 900 جهة حتى مايو 2025، مستخدمة ثغرات في SimpleHelp (مثل CVE-2024-57727).
  • VanHelsing: تم تسريب الكود المصدري بالكامل من قبل المسؤول على منتدى RAMP بسبب خلافات داخلية، بما في ذلك مفاتيح TOR، وكود الفدية، ولوحة التحكم، ونظام الدردشة، وقاعدة بيانات كاملة.
  • Interlock: استخدمت برمجية خبيثة جديدة تدعى NodeSnake مكتوبة بـ JavaScript في هجمات على الهيئات الحكومية والتعليم العالي في المملكة المتحدة بداية عام 2025.

قالت شركة Quorum Cyber: "أدوات التحكم عن بعد (RATs) تتيح للمهاجمين السيطرة الكاملة على الأنظمة المصابة، مما يسمح بالوصول للملفات، ومراقبة النشاطات، وتعديل إعدادات النظام. كما تُستخدم للحفاظ على الاستمرارية داخل بيئة المؤسسة، وتسهيل إدخال أدوات أو برمجيات إضافية، أو حتى سرقة وتخريب البيانات."