随着网络安全形势日益严峻,网络犯罪团伙也在不断进化攻击手段,以保持其攻击的有效性和隐蔽性。2025年,前黑巴斯塔(Black Basta)勒索软件成员以微软Teams平台为载体,结合Python脚本恶意执行的形式实施网络攻击,成为引发业界广泛关注的焦点。此类攻击不仅延续了黑巴斯塔以往通过邮件轰炸和钓鱼攻击取得初始访问的惯用策略,还在攻击细节和技术上融入了更多创新元素,显著提高了攻击的隐蔽性和持久性。微软Teams平台作为企业内部沟通和协作的核心工具,自然成为网络犯罪分子重点利用的漏洞之一。ReliaQuest的安全报告指出,2025年2月至5月期间,有超过半数基于Teams的钓鱼攻击通过onmicrosoft.com域名发起,且约42%的攻击通过被攻破的域名进行,这一手法加大了防御的难度。攻击者借助被截获或冒用的企业域名发送钓鱼信息,极大提升了欺骗性,使目标用户难以分辨真假,从而更容易落入圈套。
攻击者通常假扮成技术支持人员,以“帮助台”身份接触受害者,诱导其打开恶意连接或文件,这种社会工程学策略沿袭了黑巴斯塔集团典型的作案手法。更值得关注的是,攻击者不仅依赖邮件轰炸和Teams钓鱼骗局获取访问权限,还利用远程桌面软件如Quick Assist和AnyDesk展开进一步的渗透。通过这些工具,攻击者能够虚拟控制目标计算机,下载并执行远程托管的Python脚本,从而实现命令与控制(C2)通信。Python脚本的引入标志着攻击手法的技术深化,使得恶意载荷的部署更加灵活且难以检测。快速的脚本执行能力伴随着远程请求(cURL)的应用,使得攻击者能动态拉取恶意组件并执行,极大加强了攻击链的动态适应性。随着黑巴斯塔勒索软件品牌在2025年年初的内部联系日志泄露导致声誉重创,其成员流动频繁,部分前成员推测已加入新的勒索软件即服务(RaaS)组织,如CACTUS或BlackLock,并且与更大规模的勒索卡特尔如DragonForce展开合作。
这种成员间的流动和合作不仅促进了新技术的共享,也使得不同组织的攻击战术逐渐趋同。黑巴斯塔风格的社工攻击,包括邮件轰炸、Teams钓鱼以及Quick Assist的联合使用,逐渐被其他勒索软件团伙如BlackSuit采用,显示出其广泛的影响力。Rapid7的调查揭示,黑巴斯塔相关的初始访问活动常伴随着Java远控木马(RAT)的下载与执行,该木马变种依赖谷歌云和微软OneDrive、Google Sheets等云端服务作为命令的代理通道,规避了传统网络封锁和检测。此类通过云服务渠道进行通信的策略延长了恶意软件在目标环境中的潜伏时间,提升了持续控留的成功率。Java木马的新版本具备更多功能,包括文件传输、建立SOCKS5代理、窃取浏览器凭据,甚至伪装Windows登录界面,增强了其隐蔽性和攻击广度。同时,近期Sophos披露的3AM勒索软件攻击也暴露出类似的利用Rust编写的SSH加载器、前述Python远程访问工具Anubis以及QDoor隧道后门等多个恶意组件的联合使用,这在一定程度上印证了各勒索团伙间战术的交叉重叠。
除此之外,与黑巴斯塔无关但同样活跃的攻击团伙如Scattered Spider、Qilin(又称Agenda或Phantom Mantis)及Play(Balloonfly/PlayCrypt)也正利用多样的工具和漏洞展开攻击,且Scattered Spider通过针对管理服务提供商(MSPs)的“单点多目标”策略极大提升入侵效率。其更复杂的攻击链中融合了恶意定制钓鱼工具Evilginx绕过多因素认证(MFA),以及对远程桌面软件SimpleHelp的漏洞利用,表明勒索软件攻击正向供应链和远程服务层面渗透。VanHelsing勒索团伙的内部冲突导致其全部源代码和关键基础设施数据外泄,则为安全研究者提供了罕见的洞察窗口,有助于未来针对该家族及其变种进行更多主动防御。英国本地政府与高教机构遭受Interlock团伙运用新型JavaScript远控木马NodeSnake的威胁,也提示了勒索攻击的目标和技术日趋多样化。面对上述复杂局面,企业和安全防护机构需加强员工对Teams钓鱼的警惕,强化网络访问控制,并部署先进的威胁检测技术以提升对Python脚本执行及云端通信异常的识别能力。同时,密切跟踪勒索软件集团动态和新兴漏洞信息,有助于提前布局防护策略。
从安全架构角度出发,结合电子邮件安全、身份认证机制强化及端点检测响应(EDR)解决方案,可以有效降低初始访问风险。网络安全领域专家也建议,以身份为中心的安全设计将成为抵御日益复杂攻击的关键。同时,加强对托管服务供应商和合作伙伴安全防护的监管,防止“单点多目标”攻击模式带来的连锁破坏极为重要。面对黑巴斯塔前成员利用微软Teams及Python脚本发起的2025年系列攻击,企业除了采取常规的技术防护外,更需注重安全意识的培训和实时威胁情报的共享。只有全方位提升防御韧性,才能在日益智能化和隐蔽化的勒索攻击面前立于不败之地。
