Black Basta и CACTUS теперь вместе? QBACKCONNECT раскрывает их общие тактики
Анализ активности показывает, что две группировки могут действовать как единая сеть.
Исследователи Trend Micro обнаружили , что киберпреступные группировки, использующие программы-вымогатели Black Basta и CACTUS, применяют один и тот же инструмент для удалённого управления заражёнными устройствами. Речь идёт о модуле BackConnect (BC), который позволяет злоумышленникам сохранять контроль над системой после её компрометации. Этот факт может указывать на связь между двумя группами или даже на переход участников Black Basta в состав CACTUS.
Специалисты пояснили, что после проникновения этот инструмент даёт злоумышленникам широкие возможности удалённого управления, включая выполнение команд на заражённом устройстве. Это позволяет похищать конфиденциальные данные, такие как учётные записи, финансовую информацию и личные файлы.
BC-модуль, получивший обозначение QBACKCONNECT из-за пересечений с загрузчиком QakBot, впервые был подробно описан в январе 2025 года экспертами Walmart Cyber Intelligence и Sophos. Sophos присвоила ему кодовое название STAC5777.
За последний год атаки с использованием Black Basta всё чаще включали технику Email Bombing, вынуждая жертв устанавливать Quick Assist после получения запроса от злоумышленников, выдающих себя за сотрудников технической поддержки. Доступ использовался для загрузки вредоносной библиотеки «winhttp.dll» под названием REEDBED через «OneDriveStandaloneUpdater.exe», легитимный процесс обновления OneDrive. Затем загруженный файл расшифровывал и запускал BC-модуль.
Специалисты Trend Micro обнаружили, что CACTUS применял ту же методику для развёртывания BackConnect. Однако группа также использовала дополнительные техники постэксплуатации, такие как боковое перемещение по сети и эксфильтрация данных. Попытки шифрования файлов в одной из атак закончились неудачей.
Схожесть тактик стала особенно важной после утечки внутренней переписки Black Basta, которая раскрыла организационную структуру группировки. В ходе анализа выяснилось, что участники обменивались актуальными учётными данными, полученными из логов вредоносного ПО. В качестве точек первоначального проникновения использовались RDP-порталы и VPN-доступ.
Trend Micro отмечает, что злоумышленники применяют сочетание голосового фишинга (вишинга), Quick Assist как инструмента удалённого управления и BackConnect для доставки Black Basta. Схожесть методик указывает на возможное перетекание участников из одной группировки в другую, что подтверждается анализом используемых тактик и инструментов.