从black basta勒索软件日志泄露中学到的防御经验

"根据补丁管理公司 Qualys 在一份分析报告中指出，勒索组织Black Basta使用的主要攻击载体包括扫描暴露的 RDP （远程桌面协议） 和 VPN （虚拟专用网 ）服务 ， 通常依赖默认 VPN 凭证或对被盗凭证进行暴力破解以获取初始访问权限，以及在系统未打补丁时利用公开已知的 CVE 漏洞。"

同时，网络威胁情报公司 KELA 观察到泄露日志中出现的 3,000 个独特凭证与此前信息窃取恶意软件的数据泄露存在关联，这表明black basta与其他收集并出售此类数据的威胁组织之间可能存在联系。

"KELA 发现攻击者通过利用漏洞和网络钓鱼/垃圾邮件活动获取凭证，以及使用被入侵的电子邮件凭证，然后在电子邮件对话中寻找远程访问凭证，"KELA 研究人员在一份报告中写道。"随后，这些凭证要么被用作初始访问载体，要么在横向移动阶段使用。"

最后，该组织经常依赖面向互联网设备的公开已知漏洞，尤其是那些已有概念验证漏洞利用的缺陷。根据漏洞情报公司 VulnCheck 研究人员的一份分析，泄露的black basta日志中包含 62 个独特的 CVE 漏洞。

武器化漏洞利用和常见错误配置

根据 VulnCheck 的数据，日志中提到的 62 个 CVE 漏洞中有 53 个已知被公开利用，其中 44 个同时出现在美国网络安全和基础设施安全局维护的已知被利用漏洞（KEV）目录中。

在 Black Basta 勒索软件团伙泄露的聊天记录中发现了 62 个 CVE，其中超过 50 个已知已被利用。

日志中提到的一些漏洞虽然较旧但分布广泛，如 CVE-2022-30190 Microsoft Office 远程模板功能中的远程代码执行漏洞（也称为 Follina 漏洞），该漏洞已通过恶意 Word 附件被广泛利用。其他著名漏洞包括 Log4Shell（CVE-2021-44228）、Spring4Shell（CVE-2022-22965）和 ProxyNotShell（CVE-2022-41028、CVE-2022-41040）。

然而，根据通信日志，black basta通常也会迅速讨论新发布的漏洞，其中一些漏洞该组织似乎在官方公布前就已获得：Fortinet FortiOS（CVE-2024-23113）、Bricks Builder WordPress 主题（CVE-2024-25600）和 Exim 电子邮件（CVE-2023-42115）。

"在新的安全公告发布后的几天内，成员们讨论了与 Citrix NetScaler、Check Point Quantum 安全网关、ConnectWise ScreenConnect、Microsoft Office Outlook、Fortinet FortiSIEM、Palo Alto Networks PAN-OS、Atlassian Confluence Server 和 Data Center、Cisco IOS XE Web UI、Microsoft Windows、GitLab CE/EE 以及 Fortinet FortiOS 等产品相关的漏洞，"VulnCheck 研究人员发现。

VulnCheck 还发现了证据，表明black basta成员拥有开发新漏洞利用的资源，或者考虑从第三方来源购买零日漏洞。该组织还定期讨论各种攻防网络安全工具，包括 ZoomInfo、ChatGPT、GitHub、Shodan、Fofa、Metasploit、Core Impact、Cobalt Strike 和 Nuclei。

Qualys 的研究人员对漏洞进行了与 VulnCheck 发现相似的分析，同时从日志中提取了black basta成员似乎瞄准的一些主要错误配置。

这些包括在传统系统上启用 SMBv1；各种可公开访问设备（包括服务器、路由器、VPN 和其他物联网设备）的默认凭证；来自 Cisco、Fortinet 和 Palo Alto Networks GlobalProtect 等流行企业 VPN 解决方案的弱配置；Windows 服务器上未经过滤的暴露 RDP；公开的 AWS S3 存储桶；开放的 Jenkins CI/CD 服务器；弱 MSSQL 身份验证；Citrix Netscaler 错误配置；以及子域的孤立 DNS 记录。

这些漏洞中的许多仍然是攻击者的活跃目标。攻击检测平台 GreyNoise 本周报告称，black basta日志中提到的 62 个漏洞中有 23 个在过去 30 天内遭到积极利用，这意味着组织应立即评估其对这些漏洞的潜在暴露情况。

从信息窃取到勒索软件

信息窃取工具是一类设计用来抓取存储在浏览器密码库和其他应用程序中的登录信息的恶意软件。这些威胁越来越多地在网络犯罪论坛上作为服务提供，根据最近的一项研究，它们的普及率在过去一年中增长了三倍。同期，此类工具窃取的信息（称为信息窃取日志）在暗网上增加了 50%。

KELA 研究人员强调了一个例子，说明此类信息如何使black basta攻击者成功入侵一家巴西软件和技术支持公司。该公司大约在 2023 年 10 月 18 日被入侵，攻击者使用的是最初出现在 2023 年 3 月信息窃取日志中的 RDweb 登录凭证。

black basta日志中的证据显示，攻击者共享了该公司的额外哈希凭证转储，表明他们正在进行横向移动。攻击者花了六个月时间从信息窃取数据转储中获取有用的初始访问凭证，然后仅用两天就入侵了公司，窃取了数据进行勒索，并部署了勒索软件。

更可怕的是，包含初始访问凭证的同一信息窃取日志还包含了其他 50 个凭证，其中一些似乎与巴西软件公司的客户有关。KELA 研究人员推测，这些数据很可能是通过入侵技术支持人员的机器而被盗取的。

"从初始访问到数据窃取和公开勒索，这种结构化方法展示了black basta如何战略性地利用被入侵的凭证、内部侦察和受害者分析，以最大化其勒索软件活动的影响，"研究人员写道。

报告汇总

• https://github.com/mayfly42/ThreatReport/tree/main/Black%20Basta

相关报道

• https://www.trendmicro.com/en_us/research/25/b/black-basta-cactus-ransomware-backconnect.html

• https://blog.qualys.com/vulnerabilities-threat-research/2025/02/25/defense-lessons-from-the-black-basta-ransomware-playbook

• https://blog.qualys.com/vulnerabilities-threat-research/2025/02/25/defense-lessons-from-the-black-basta-ransomware-playbook

• https://www.kelacyber.com/resources/research/inside-the-blackbasta-leak/

• https://vulncheck.com/blog/black-basta-chats

• https://www.bankinfosecurity.com/blogs/black-basta-leaks-reveal-targeting-planning-escalation-p-3822

• https://www.infostealers.com/article/hudson-rock-drops-blackbastagpt-built-from-1m-internal-messages-leaked-from-black-basta-ransomware-group/

• https://www.securityweek.com/black-basta-leak-offers-glimpse-into-groups-inner-workings/