اعضای سابق گروه باج‌افزار Black Basta با استفاده از روش‌های آزموده خود شامل بمباران ایمیل و فیشینگ از طریق Microsoft Teams برای دسترسی پایدار به شبکه‌های هدف ادامه می‌دهند. شرکت ReliaQuest در گزارشی اعلام کرد که مهاجمان اخیراً اجرای اسکریپت‌های Python را در کنار این تکنیک‌ها معرفی کرده‌اند و از درخواست‌های cURL برای دریافت و استقرار بارهای مخرب استفاده می‌کنند.

این تحولات نشان می‌دهد که مهاجمان علیرغم ضربه سنگینی که برند Black Basta پس از افشای عمومی چت‌های داخلی آن در فوریه امسال متحمل شد، همچنان در حال تغییر تاکتیک و سازماندهی مجدد هستند.

این شرکت امنیت سایبری اعلام کرد که نیمی از حملات فیشینگ Teams که بین فوریه و می ۲۰۲۵ مشاهده شد، از دامنه‌های onmicrosoft.com سرچشمه گرفته‌اند. دامنه‌های هک شده نیز ۴۲ درصد از حملات در همان دوره را تشکیل می‌دادند. روش دوم بسیار مخفیانه‌تر است و به مهاجمان اجازه می‌دهد ترافیک قانونی را در حملات خود جعل کنند.

در ماه گذشته، مشتریان ReliaQuest در بخش‌های مالی، بیمه و ساخت‌وساز با استفاده از فیشینگ Teams و جعل هویت پرسنل پشتیبانی فنی مورد هدف قرار گرفتند.

شرکت افزود: “تعطیلی سایت افشای داده‌های Black Basta علیرغم ادامه استفاده از تاکتیک‌های آن نشان می‌دهد که اعضای سابق احتمالاً به گروه RaaS دیگری مهاجرت کرده یا گروه جدیدی تشکیل داده‌اند. محتمل‌ترین سناریو این است که اعضای سابق به گروه CACTUS RaaS پیوسته‌اند.”

با این حال، گروه CACTUS از مارس ۲۰۲۵ هیچ سازمانی را در سایت افشای داده‌های خود نام نبرده است که نشان می‌دهد این گروه یا منحل شده یا عمداً سعی دارد توجه را به خود جلب نکند.

احتمال دیگر این است که وابستگان به BlackLock منتقل شده‌اند که به نوبه خود با کارتل باج‌افزار DragonForce همکاری می‌کند.

مهاجمان همچنین از دسترسی به‌دست‌آمده از طریق فیشینگ Teams برای برقراری جلسات دسکتاپ از راه دور با Quick Assist و AnyDesk استفاده کرده و سپس اسکریپت Python مخرب را از آدرس راه دور دانلود و اجرا می‌کنند تا ارتباطات فرماندهی و کنترل (C2) برقرار کنند.

ReliaQuest گفت: “استفاده از اسکریپت‌های Python در این حمله تاکتیکی در حال تکامل را برجسته می‌کند که احتمالاً در آینده نزدیک در کمپین‌های فیشینگ Teams رایج‌تر خواهد شد.”

استراتژی مهندسی اجتماعی به سبک Black Basta که ترکیبی از اسپم ایمیل، فیشینگ Teams و Quick Assist است، اکنون توسط گروه باج‌افزار BlackSuit نیز استفاده می‌شود.

طبق گزارش Rapid7، دسترسی اولیه به عنوان مسیری برای دانلود و اجرای نسخه‌های به‌روزشده RAT مبتنی بر Java عمل می‌کند که قبلاً برای سرقت اعتبارنامه در حملات Black Basta استفاده می‌شد.

شرکت گفت: “بدافزار Java اکنون از خدمات میزبانی فایل مبتنی بر ابر ارائه‌شده توسط Google و Microsoft سوءاستفاده می‌کند تا دستورات را از طریق سرورهای ارائه‌دهنده خدمات ابری پروکسی کند.”

نسخه جدید این بدافزار دارای ویژگی‌های بیشتری برای انتقال فایل‌ها بین میزبان آلوده و سرور راه دور، راه‌اندازی تونل پروکسی SOCKS5، سرقت اعتبارنامه‌های ذخیره‌شده در مرورگرهای وب، نمایش پنجره ورود جعلی Windows و دانلود کلاس Java از URL ارائه‌شده و اجرای آن در حافظه است.

مانند حملات باج‌افزار 3AM که Sophos چند هفته پیش جزئیات آن را منتشر کرد، نفوذها همچنین با استفاده از بک‌دور تونل‌زنی QDoor، بدافزاری که قبلاً به BlackSuit نسبت داده شده بود، و یک payload Rust که احتمالاً لودر سفارشی برای ابزار SSH است، و RAT Python به نام Anubis مشخص می‌شوند.

این یافته‌ها در میان تحولات متعدد در چشم‌انداز باج‌افزار منتشر شده است:

گروه Scattered Spider با انگیزه مالی، ارائه‌دهندگان خدمات مدیریت‌شده (MSP) و فروشندگان IT را با رویکرد “یک به چند” هدف قرار داده تا از طریق یک نفوذ واحد به چندین سازمان نفوذ کند. در برخی موارد از حساب‌های به خطر افتاده پیمانکار جهانی IT، Tata Consultancy Services (TCS) برای دسترسی اولیه استفاده کرده‌اند.

Scattered Spider صفحات ورود جعلی با استفاده از کیت فیشینگ Evilginx ایجاد کرده تا احراز هویت چندعاملی (MFA) را دور بزند و اتحادهای استراتژیک با اپراتورهای بزرگ باج‌افزار مانند ALPHV، RansomHub و اخیراً DragonForce برقرار کرده است.

اپراتورهای باج‌افزار Qilin کمپین نفوذ هماهنگی را بین می و ژوئن ۲۰۲۵ با سوءاستفاده از آسیب‌پذیری‌های Fortinet FortiGate راه‌اندازی کرده‌اند.

گروه باج‌افزار Play تخمین زده می‌شود که از زمان ظهور در اواسط ۲۰۲۲ تا می ۲۰۲۵، ۹۰۰ نهاد را به خطر انداخته است. برخی از حملات از نقص‌های SimpleHelp برای هدف قرار دادن بسیاری از نهادهای مستقر در ایالات متحده استفاده کرده‌اند.

مدیر گروه باج‌افزار VanHelsing کل کد منبع را در انجمن RAMP به دلیل درگیری‌های داخلی بین توسعه‌دهندگان و رهبری فاش کرد. جزئیات فاش‌شده شامل کلیدهای TOR، کد منبع باج‌افزار، پنل وب مدیر، سیستم چت، سرور فایل و وبلاگ با پایگاه داده کامل آن است.

گروه باج‌افزار Interlock یک تروجان دسترسی از راه دور JavaScript به نام NodeSnake را در حملات علیه سازمان‌های دولت محلی و آموزش عالی در بریتانیا در ژانویه و مارس ۲۰۲۵ مستقر کرده است. این بدافزار که از طریق ایمیل‌های فیشینگ توزیع می‌شود، قابلیت‌های دسترسی پایدار، شناسایی سیستم و اجرای دستورات از راه دور را ارائه می‌دهد.

Quorum Cyber گفت: “RAT ها به مهاجمان امکان کنترل از راه دور سیستم‌های آلوده را می‌دهند و به آنها اجازه می‌دهند به فایل‌ها دسترسی پیدا کنند، فعالیت‌ها را نظارت کنند و تنظیمات سیستم را دستکاری کنند. مهاجمان می‌توانند از RAT برای حفظ پایداری در سازمان و همچنین معرفی ابزارها یا بدافزارهای اضافی به محیط استفاده کنند.”