СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.05.2025
#ИБ#Инфра

Длительная кампания KeeLoader и Cobalt Strike связана с Black Basta

Длительная кампания KeeLoader и Cobalt Strike связана с Black Basta

Источник: www.secureblink.com

Длительная киберкампания с использованием вредоносного KeePass и Cobalt Strike

В последние восемь месяцев была развернута сложная и целенаправленная киберкампания, в ходе которой злоумышленники активно используют троянские программы-установщики KeePass для внедрения маяков Cobalt Strike, кражи учетных данных и запуска программ-вымогателей. Эта кампания связывается с известными группами программистов-вымогателей, такими как Black Basta и BlackCat/ALPHV.

Механизмы атаки и тактические решения

Злоумышленники применяют широкий спектр хитрых методов проникновения в сети, используя вредоносную рекламу, злоупотребление цифровыми подписями и эксплуатируя доверие к софтверу с открытым исходным кодом. Основным вредоносным инструментом выступает KeeLoader, который за период с июля 2024 по февраль 2025 года изменился как минимум пять раз, получив такие важные обновления, как:

  • прямая фильтрация учетных данных;
  • локальное хранение украденной информации;
  • полная интеграция с Cobalt Strike.

Для повышения доверия вредоносные версии KeeLoader часто подписываются кажущимися законными или даже аннулированными сертификатами таких организаций, как S.R.L. INT-MCOM и Shenzhen Kantianxia Network Technology Co.. Это значительно увеличивает шансы успешной атаки.

Методы обхода систем обнаружения

Для того чтобы не быть замеченными антивирусными системами и средствами обнаружения угроз, злоумышленники задействуют ряд приемов:

  • обфускация кода;
  • шифрование полезной нагрузки с помощью RC4;
  • выполнение вредоносного кода в изолированной среде (sandbox), активирующееся только при наличии доступа к базе данных KeePass.

Инфраструктура кампании и инфраструктурные особенности

Инфраструктура атаки включает тщательно спланированные домены для вредоносной рекламной деятельности, например aenys.com, на которых размещаются поддомены, имитирующие популярные и доверенные сервисы — такие как WinSCP и криптовалютные кошельки. Дополнительно применяются домены, создаваемые на основе ошибок в написании (typosquatting), например keeppaswrd.com, перенаправляющие пользователей на вредоносные сайты.

Были обнаружены серверы командования и контроля (C2) Cobalt Strike, содержащие специфические водяные знаки, напрямую указывающие на связь с группой Black Basta.

Связь с хакерской группировкой UNC4696

Эксперты с умеренной степенью уверенности связывают деятельность с группой UNC4696, которая известна своей предыдущей работой с программами-вымогателями, такими как Nitrogen Loader. Наличие уникальных водяных знаков Cobalt Strike, характерных исключительно для Black Basta, служит дополнительным подтверждением этой связи.

Гибридная тактика и особенности вымогательства

Выделяется использование гибридной тактики атаки, проявляющейся в уведомлениях о выкупе, которые внешне напоминают программу-вымогатель Akira, однако содержат идентификаторы, соответствующие хэшам KeeLoader. Это свидетельствует о развитой и адаптивной стратегии злоумышленников в рамках одной кампании.

Рекомендации по защите и противодействию

Для минимизации рисков и успешной защиты организациям рекомендуется:

  • включать выявленные вредоносные домены и IP-адреса в сетевые списки блокировок;
  • активно отслеживать подключения к известным IP-адресам серверов C2;
  • уделять внимание обнаружению файлов, связанных с KeeLoader, а также процессам, использующим характерные команды обновления;
  • старательно контролировать целостность программного обеспечения, загружая KeePass исключительно с официального сайта и проверяя контрольные суммы файлов;
  • повышать готовность к атакам программ-вымогателей путем изоляции критических серверов;
  • использовать многофакторную аутентификацию для административного доступа;
  • регулярно проверять системы резервного копирования на предмет скомпрометированности.

Заключение: Новые тренды в кибератаках

Следует отметить, что злоумышленники медленно, но уверенно переходят от банального внедрения вредоносного ПО к модификации баз кода с открытым исходным кодом, увеличивая тем самым устойчивость и скрытность своих атак. Рост популярности программ-вымогателей как сервиса (Ransomware as a Service, RaaS) усложняет противодействие, поскольку преступные инфраструктуры активно совместно используются, создавая взаимосвязанную и сложную экосистему, которая требует скоординированных и глубоких мер безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: