نوع جدید باج افزار BlackCat از ابزارهای پیشرفته Impacket و RemCom استفاده می کند

نسخه جدیدی از باج افزار BlackCat (معروف به ALPHV و Noberus)  که ابزارهایی مانند Impacket و RemCom را برای تسهیل حرکت جانبی و اجرای کد از راه دور تعبیه کرده است، توسط مایکروسافت کشف شده است. تیم هوش تهدیدات این شرکت در مجموعه‌ای از پست‌های X(توئیتر سابق) گفت «ابزار Impacket دارای ماژول های تخلیه اعتبارنامه و اجرای سرویس از راه دور است که می‌تواند برای استقرار گسترده باج افزار BlackCat در محیط‌های هدف استفاده شود. این نسخه BlackCat همچنین دارای ابزار هک RemCom است که برای اجرای کد از راه دور در فایل اجرایی تعبیه شده است. این فایل همچنین حاوی اعتبارنامه‌های هدف به خطر افتاده، سخت کدگذاری (hard-coded) شده است که تهدیدکنندگان برای جابجایی جانبی و استقرار بیشتر باج افزار استفاده می‌کنند».
Redmond گفت که در ژوئیه 2023 شروع به مشاهده نوع جدید در حملات انجام‌شده توسط یک فرد وابسته به BlackCat کرده است. این اتفاق بیش از دو ماه پس‌ازآن صورت گرفت که IBM Security X-Force جزئیات نسخه به روز شده BlackCat به نام Sphynx را فاش کرد که برای اولین بار در فوریه 2023 با بهبود سرعت رمزگذاری و مخفی‌کاری ظاهر شد و به تلاش‌های مستمر تهدیدکنندگان برای پالایش و به کارگیری مجدد باج افزار اشاره کرد. این گروه جرایم سایبری که فعالیت خود را در نوامبر 2021 آغاز کرد، دائماً در حال تکامل است و اخیراً یک API نشت داده منتشر کرده است. بر اساس بررسی Mid-Year Threat Review Rapid7 برای سال 2023، BlackCat به 212 مورد از مجموع 1500 حمله باج افزار نسبت داده‌شده است. این فقط BlackCat نیست، زیرا گروه تهدید باج افزار کوبا (معروف به(COLDRAW نیز مشاهده‌شده است که از یک مجموعه ابزار حمله جامع شامل BUGHATCH، یک دانلود کننده سفارشی، BUGHATCH، یک دانلود کننده سفارشی، BURNTCIGAR، یک قاتل ضد بدافزار؛ Wedgecut، یک ابزار شمارش میزبان؛ متاسپلویت و چارچوب‌های Cobalt Strike استفاده می‌کند.

یکی از حملاتی که در اوایل ژوئن 2023 توسط این گروه انجام شد، گفته می‌شود که CVE-2020-1472 (Zerologon) و CVE-2023-27532 را مورد سوء استفاده قرار داده است، یک نقص با شدت بالا در نرم‌افزار Veeam Backup & Replication که قبلاً توسط گروه FIN7 برای سرقت اطلاعات از فایل‌های پیکربندی توسط این گروه مورد سوءاستفاده قرارگرفته است. شرکت امنیت سایبری کانادایی BlackBerry اعلام کرد که اولین استفاده از یک سوءاستفاده از آسیب‌پذیری Veeam CVE-2023-27532 توسط این گروه است.

منبع

https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html