Переглядаю нещодавно злиті в інтернет логи з серверів Matrix російської APT-групи "BlackBasta" за період 2023-2024 рр.

Виявляється, що деякі їхні "хакери" не уміють працювати з реверс-шелом...

Хто має бажання ознайомитись з витоком, ласкаво прошу в наш GitHub репозиторій, де є купа різної всячини: https://github.com/krlabs/APT-Ransomware-threat-intel/tree/main/Black%20Basta

Також можна завантажити "BlackBasta Chat Leaks" одразу за посиланням з MEGA: https://mega.nz/file/g4ZkEZYT#ASnK38iYrDEpY5vlJEi0b3oWxlj4ocWjcbFrDqPkskg

Якщо дуже коротко, то тактика їх стандартна:

1. Генерують реверс-шел під Windows з корисним навантаженням (наприклад через MSFVenom). Пакують його в файл, це може бути exe, bat, zip або будь-який інший (msi, vbs), навіть docx чи pdf. Деколи застосовують обфускацію і шифрування, щоб не спрацював детект.
2. Доставляють будь-яким можливим каналом електронного зв'язку: через downloader на фішинговому сайті, або у "партнерському" email-листі від імені легітимної компанії (часто застосовуючи spoofing email).
2. Жертва клює, скачує, відкриває на своїй Вінді і шелл вступає в дію (при цьому відбувається обхід AV і UAC, прописаний в корисному навантаженні).
3. Реверс-шел підключається до слухача (лістенера), який запущений через Metasploit на машині атакуючого і чекає коли "рибка" клюне на гачок.
4. "Рибка" клює, налагоджується сесія Meterpreter і атакуючий бере під контроль цільову систему жертви.
5. Далі відбуваються подальша взаємодія з системою жертви, ескалація привілеїв, пост-експлуатація і т.д. Через PowerShell розгортається шпигунський скрипт (руткіт/стилер) з під'єднанням до командного сервера C2 (Command & Control Server).

Нагадаю, це вже третій злив російських рансомварщиків. Перший стався у 2021 році, коли невідомий пентестер поділився на форумі "XSS" внутрішніми мануалами шифрувальників-вимагачів "Conti" (Wizard Spider).
Згодом у 2022 році злили їх Jabber-чати. Усі матеріали також представлені у нашому репозиторії: https://github.com/krlabs/APT-Ransomware-threat-intel/tree/main/Conti

Моя думка така: пора Україні помаленьку запускати свої (україномовні) APT-гвардії. І чим більше - тим краще. Навіть якщо вас 2-3 людини з навичками мідлів - це вже кістяк групи. Підключайте до себе джуніорів і починайте!

Матеріалів, концепцій, інструментів, технік, методик як працювати за лекалами APT/Red Team - хоч відбавляй.

Зокрема, нагадую, чимало усього представлено на нашому сайті:
https://kr-labs.com.ua/blog
https://kr-labs.com.ua/books

P.S. Дослідники на базі зливу чатів BlackBasta запустили спеціальний чат-бот GPT, де ви можете задати будь-яке запитання й отримати відповідь. Наприклад: "Як BlackBasta доставляє реверс-шел", "Як BlackBasta обходить захист Windows-систем", "Якими інструментами користується" і так далі.... Дуже корисно!

https://chatgpt.com/g/g-67b80f8b69f08191923d8e6c3fb929b6-blackbastagpt

#blackbasta #apt #threatintel #intelligence #Russiaukraine_war #cyberwar #russiahackers #cybercrime