勒索軟體Black Basta、Cactus持續在受害組織活動，共通點是都用惡意軟體BackConnect攻擊

勒索軟體駭客組織Black Basta約自2022年4月開始從事活動，傳出是由惡名昭彰的Conti成員組成，如今有資安業者發現，Black Basta疑似有成員出走，跳槽到另一個勒索軟體駭客組織Cactus的跡象。

趨勢科技指出，他們近期發現Black Basta與Cactus的攻擊行動當中，都運用一款名為BackConnect的惡意程式，以便在受害電腦持續活動，這種不尋常的現象引起研究人員的注意。由於1個月前資安業者Prodaft發現Black Basta成員對話內容外流，內容指出Black Basta主要成員出走，並加入Cactus或其他勒索軟體駭客組織，兩個組織攻擊手法及武器出現交集的情況，很有可能是駭客跳槽造成。

針對Black Basta的攻擊態勢，趨勢科技指出從去年10月相關社交工程攻擊顯著增加，駭客先後運用郵件轟炸手法，然後冒充IT人員透過微軟Teams接觸受害者，引誘他們安裝遠端管理工具，或是執行遠端Shell，得逞後駭客將會繼續部署其他惡意程式來偵察，挖掘VPN組態配置及各式帳密資料。

值得留意的是，這些駭客部署勒索軟體使用的工具，都是透過BackConncet來進行。而對於這個惡意程式的來源，今年1月Walmart惡意軟體研究人員Jason Reaves指出，BackConncet就是QBot的後繼版本，經營此惡意軟體的駭客在2023年8月經歷執法行動Operation Duckhunt後，一度消聲匿跡，而偏好使用QBot來入侵受害組織的Black Basta，也被迫更換作案工具。

趨勢科技總共確認自去年10月發生近40起Black Basta攻擊事故，其中21起發生在北美，18起在歐洲，針對美國企業組織下手的情況最嚴重，有17起，加拿大、英國各有5起。而針對駭客攻擊的產業類型，逾四分之一是製造業最多（11起），房仲及營造業、金融服務居次，分別是9起和6起。

但他們發現，Black Basta發動攻擊的手法，竟與Cactus雷同。首先，兩組人馬都透過郵件轟炸及Teams接觸受害組織。

而在作案過程裡，這些駭客都會下載2個相同的BPX檔案，並透過CAB壓縮檔產生OneDrive資料夾及一系列檔案。另一方面，兩組人馬不僅都使用BackConnect，就連C2的架構也相同。因此研究人員認為，這樣的現象很有可能是Black Basta成員加入Cactus所致。

不過，這些駭客作案還是有不同的地方。趨勢科技指出，Cactus會利用SMB網路共享資料夾及WinRM公用程式，從而在受害組織的網路環境橫向移動，再者，這些駭客不光攻擊Windows電腦，也會對VMware ESXi主機下手，而這些都是Black Basta並未使用的手段。