元Black Bastaメンバーが2025年の攻撃でMicrosoft TeamsとPythonスクリプトを使用

Black Bastaランサムウェアオペレーションに関連する元メンバーが、ターゲットネットワークへの持続的なアクセスを確立するために、メールボンビングとMicrosoft Teamsフィッシングという試行済みのアプローチを続けていることが観察されています。

「最近、攻撃者はこれらの技術に加えてPythonスクリプトの実行を導入し、cURLリクエストを使用して悪意のあるペイロードを取得および展開しています」とReliaQuestはThe Hacker Newsに共有したレポートで述べています。

この展開は、脅威アクターが< a href="https://cybelangel.com/black-basta-ransomware-gang/" rel="noopener" target="_blank">Black Bastaブランドが大きな打撃を受け、今年2月に内部チャットログの公開漏洩後に衰退したにもかかわらず、方向転換と再編成を続けていることを示しています。

サイバーセキュリティ会社は、2025年2月から5月の間に観察されたTeamsフィッシング攻撃の半分がonmicrosoft[.]comドメインから発信され、同期間中の攻撃の42％が侵害されたドメインに起因すると述べています。後者はよりステルス性が高く、脅威アクターが攻撃で正当なトラフィックを偽装することを可能にします。

つい最近の先月、ReliaQuestの金融および保険業界と建設業界の顧客が、ヘルプデスクのスタッフを装ってTeamsフィッシングを使用して、無防備なユーザーを騙すターゲットにされました。

「Black Bastaのデータリークサイトの閉鎖は、その戦術の継続使用にもかかわらず、元のアフィリエイトが別のRaaSグループに移行したか、新しいグループを形成した可能性が高いことを示しています」と同社は付け加えました。「最も可能性の高いシナリオは、元メンバーがCACTUS RaaSグループに参加したことであり、これはBlack BastaのリーダーであるTrumpが漏洩したチャットでCACTUSに対する50万〜60万ドルの支払いを言及していることから証明されています。」

とはいえ、CACTUSが2025年3月以降、そのデータリークサイトで組織を名指ししていないことは注目に値します。これは、グループが解散したか、故意に注目を避けようとしていることを示しています。もう一つの可能性は、アフィリエイトがBlackLockに移行したことであり、これがDragonForceという名のランサムウェアカルテルと協力を開始したと考えられています。

脅威アクターはまた、Teamsフィッシング技術を通じて得たアクセスを利用して、Quick AssistやAnyDeskを介してリモートデスクトップセッションを開始し、その後、リモートアドレスから悪意のあるPythonスクリプトをダウンロードして実行し、コマンド＆コントロール（C2）通信を確立することが観察されています。

「この攻撃でのPythonスクリプトの使用は、今後のTeamsフィッシングキャンペーンでより一般的になる可能性が高い進化する戦術を示しています」とReliaQuestは述べています。

メールスパミング、Teamsフィッシング、Quick Assistを組み合わせたBlack Bastaスタイルのソーシャルエンジニアリング戦略は、その後、BlackSuitランサムウェアグループの間でも採用され、BlackSuitアフィリエイトがこのアプローチを受け入れたか、グループのメンバーを吸収した可能性を示しています。

Rapid7によると、初期アクセスは、以前Black Basta攻撃でクレデンシャルハーベスターとして機能するために展開されたJavaベースのRATの更新されたバリアントをダウンロードして実行するための経路として機能します。

「Javaマルウェアは現在、GoogleとMicrosoftの両方が提供するクラウドベースのファイルホスティングサービスを悪用して、それぞれのクラウドサービスプロバイダー（CSP）のサーバーを通じてコマンドをプロキシします」と同社は述べています。「時間が経つにつれて、マルウェア開発者は直接プロキシ接続から（つまり、設定オプションが空白または存在しない）、OneDriveやGoogle Sheets、そして最近では単にGoogle Driveを使用する方向にシフトしています。」

マルウェアの新しいバージョンは、感染したホストとリモートサーバー間でファイルを転送し、SOCKS5プロキシトンネルを開始し、ウェブブラウザに保存されたクレデンシャルを盗み、偽のWindowsログインウィンドウを表示し、指定されたURLからJavaクラスをダウンロードしてメモリ内で実行するための機能を備えています。

数週間前にSophosによって詳細が明らかにされた3AMランサムウェア攻撃のように、侵入はQDoorと呼ばれるトンネリングバックドアの使用によっても特徴付けられています。これは以前BlackSuitに帰属されていたマルウェアであり、SSHユーティリティのカスタムローダーである可能性が高いRustペイロードと、Anubisと呼ばれるPython RATが含まれています。

これらの発見は、ランサムウェアの状況におけるいくつかの展開の中で明らかになっています –

• Scattered Spiderとして知られる金銭的動機を持つグループが、単一の侵害を通じて複数の組織に侵入する「一対多」アプローチの一環として、マネージドサービスプロバイダー（MSP）およびITベンダーをターゲットにしており、いくつかのケースでは、グローバルIT請負業者であるTata Consultancy Services（TCS）からの侵害されたアカウントを悪用して初期アクセスを得ています。
• Scattered Spiderは、Evilginxフィッシングキットを使用して多要素認証（MFA）を回避する偽のログインページを作成し、ALPHV（別名BlackCat）、RansomHub、そして最近ではDragonForceのような主要なランサムウェアオペレーターと戦略的提携を結び、SimpleHelpリモートデスクトップソフトウェアの脆弱性を悪用してMSPをターゲットにした高度な攻撃を実施しています。
• Qilin（別名AgendaおよびPhantom Mantis）ランサムウェアオペレーターが、Fortinet FortiGateの脆弱性（例：CVE-2024-21762およびCVE-2024-55591）を武器にして、2025年5月から6月にかけていくつかの組織をターゲットにした協調的な侵入キャンペーンを開始しました。
• Play（別名BalloonflyおよびPlayCrypt）ランサムウェアグループは、2022年半ばに出現して以来、2025年5月時点で900のエンティティを侵害したと推定されています。いくつかの攻撃では、脆弱性の公開後に多くの米国拠点のエンティティをターゲットにするためにSimpleHelpの脆弱性（CVE-2024-57727）を利用しました。
• VanHelsing ランサムウェアグループの管理者は、開発者とリーダーシップの間の内部対立を理由に、RAMPフォーラムでソースコード全体を漏洩しました。漏洩した詳細には、TORキー、ランサムウェアのソースコード、管理者用ウェブパネル、チャットシステム、ファイルサーバー、およびその完全なデータベースを含むブログが含まれています。PRODAFTによると。
• Interlock ランサムウェアグループは、2025年1月と3月に英国の地方政府および高等教育機関をターゲットにした攻撃の一環として、以前に文書化されていないJavaScriptリモートアクセス型トロイの木馬であるNodeSnakeを展開しました。このマルウェアはフィッシングメールを介して配布され、持続的なアクセス、システム偵察、およびリモートコマンド実行機能を提供します。

「RATは攻撃者が感染したシステムをリモートで制御することを可能にし、ファイルへのアクセス、活動の監視、およびシステム設定の操作を可能にします」とQuorum Cyberは述べています。「脅威アクターは、RATを使用して組織内での持続性を維持し、追加のツールやマルウェアを環境に導入することができます。また、データへのアクセス、操作、破壊、または流出を行うこともできます。」