شگردهای جدید در چنگال BlackCat

نسخه جدید باج‌افزار BlackCat از ابزارهای پیشرفته Impacket و RemCom استفاده می‌کند.

به گزارش افتانا، مایکروسافت، نسخه جدیدی از باج‌افزار BlackCat معروف به ALPHV و Noberus کشف کرده است که ابزارهایی مانند Impacket و RemCom را برای تسهیل حرکت جانبی و اجرای کد از راه دور تعبیه کرده است.

ابزار Impacket دارای ماژول‌های تخلیه اعتبارنامه و اجرای سرویس از راه دور است که می‌تواند برای استقرار گسترده باج افزار BlackCat در محیط‌های هدف استفاده شود. این نسخه BlackCat همچنین دارای ابزار هک RemCom است که برای اجرای کد از راه دور در فایل اجرایی تعبیه شده است. این فایل همچنین حاوی اعتبارنامه‌های هدف به خطر افتاده، سخت کدگذاری (hard-coded) شده است که تهدیدکنندگان برای جابه‌جایی جانبی و استقرار بیشتر باج افزار استفاده می‌کنند.

این گروه که فعالیت خود را در نوامبر 2021 آغاز کرد، دائماً در حال تکامل است و اخیراً یک API نشت داده منتشر کرده است. بر اساس بررسی Mid-Year Threat Review Rapid7 برای سال 2023، BlackCat به 212 مورد از مجموع 1500 حمله باج‌افزار نسبت داده‌شده است. این فقط BlackCat نیست، زیرا گروه تهدید باج‌افزار کوبا (معروف به(COLDRAW نیز مشاهده ‌شده است که از یک مجموعه ابزار حمله جامع شامل BUGHATCH، یک دانلودکننده سفارشی، BUGHATCH، یک دانلودکننده سفارشی، BURNTCIGAR، یک قاتل ضد بدافزار؛ Wedgecut، یک ابزار شمارش میزبان؛ متاسپلویت و چارچوب‌های Cobalt Strike استفاده می‌کند.

گفته می‌شود یکی از حملاتی که در اوایل ژوئن 2023 توسط این گروه انجام شد، CVE-2020-1472 (Zerologon) و CVE-2023-27532 را مورد سوء استفاده قرار داده است، یک نقص با شدت بالا در نرم‌افزار Veeam Backup & Replication که قبلاً توسط گروه FIN7 برای سرقت اطلاعات از فایل‌های پیکربندی توسط این گروه مورد سوءاستفاده قرارگرفته است.