《绿盟科技：2025年BLACKBASTA勒索组织内部泄密事件分析报告（18页）.pdf》由会员分享，可在线阅读，更多相关《绿盟科技：2025年BLACKBASTA勒索组织内部泄密事件分析报告（18页）.pdf（18页珍藏版）》请在三个皮匠报告上搜索。

1、BLACKBASTA勒索组织内部泄密事件分析报告、事件背景 3、组织背景 3三、泄露内容分析 43.1 组织技战术 43.2 组织情报分析 13四、针对本次事件的思考 154.1 防御勒索攻击 154.2 隐性络战 154.3 LLM辅助威胁分析 15五、安全建议 175.1“CT猎影”暗威胁险评估服务 175.2“CT孪”勒索演练服务 17六、参考 182BLACKBASTA勒索组织内部泄密事件分析报告、事件背景 2025年211，勒索软件领域发了场轰动性事件臭名昭著的BlackBasta组织内部聊天记录遭到泄露，近20万条俄语消息通过MEGA平台和Telegram频道被公之于众。这场泄露的

2、起因可追溯2024年年中，当时BlackBasta因攻击俄罗斯银引发内部激烈冲突，最终导致该组织在2025年初陷停滞。泄露的聊天记录时间跨度从2023年9182024年928，完整展现了该组织从盛到内讧的全过程。这事件不仅暴露了勒索团伙内部的脆弱性，也次揭开了其运作模式和技术细节的神秘纱。绿盟科技M01N战队C威胁围猎组长期对暗威胁进跟踪和预警，此次事件我们也快速进了分析和研判，从该组织的起源，到泄露内容的深度剖析，再到事件背后的业启，我们将在本中深探讨，结合C组前期狩猎情报数据，详细解读聊天记录中的关键线索，为读者全呈现这场络犯罪风暴的全貌。此外，绿盟科技C威胁情报组针对企业户提供业独有的“

3、CT猎影”暗威胁风险评估服务和“CT孪”勒索演练服务案，读者可在后进了解。、组织背景 BlackBasta勒索组织（CTC-RAN-18）于2022年4次现，其起源被认为与Conti和REvil等知名勒索软件团伙密切相关，尤其是在Conti于2022年5解散后，其成员可能重组并形成了BlackBasta。这推测基于其战术、技术和程序（TTPs）与Conti和REvil的度相似性，例如双重勒索策略和标选择式。BlackBasta采Ransomware-as-a-Service（RaaS）模式运作，向附属客提供恶意软件，则负责谈判和赎处理，这种模式使其能够迅速积累受害者并扩影响。BlackBast

4、a的攻击法复杂且具有度针对性，通常通过鱼叉式络钓鱼电邮件获取初始访问权限，随后使PsExec等具进横向移动，并依赖Qakbot提升权限。其双重勒索策略不仅加密受害者的数据，还威胁在不付赎的情况下泄露数据，这种策略显著时间事件2022年4-2024年BlackBasta活跃，攻击全球500多个组织，采双重勒索策略。2024年中BlackBasta分攻击俄罗斯银，引发内部冲突，领导层决策受质疑。2025年1因内部盾加剧，组织活动减少，部分成员转投其他勒索软件团如Cactus。2025年211聊天记录泄露，时间跨度为2023年9182024年928，泄密者为ExploitWhispers。3BLAC

5、KBASTA勒索组织内部泄密事件分析报告增加了受害者的压。此外，BlackBasta还采多种防御规避技术，使其攻击更加隐蔽且难以检测。BlackBasta之所以备受关注，不仅因为其攻击的泛性和复杂性，更因为其对关键基础设施的针对性攻击，尤其是医疗保健业。出现以来，BlackBasta已攻击全球超过500个组织，包括多个地区的政府机构、融机构以及医疗系统。2024年5，其对某型医疗系统的攻击更是影响了数百家医院，导致电话和计算机系统离线，部分医院甚取消了紧急术。这种对关键基础设施的攻击不仅对受害者造成直接的经济损失，还可能对公共安全和社会稳定产深远影响。因此，BlackBasta的持续演变和活动

6、使其成为络安全领域的重威胁，值得全球范围内的关注和防范。三、泄露内容分析 3.1 组织技战术 BlackBasta攻击组织展现出度专业化、模块化的攻击能，其技战术体系呈现出多层次、多维度的发展特征。该组织以勒索攻击为核标，构建了从初始渗透到数据外传的完整攻击链条，其技术段涵盖了窃密令、漏洞利、社会程学等多个领域，形成了完整的攻击态。在技术层，该组织持续演进其攻击具链，从传统的Cobalt Strike逐步向BRC4等新型C2具迁移，同时积极采商业化的PaaS（Packer-as-a-Service）服务进载荷封装，以提升对抗检测的能。在攻击策略上，该组织采分阶段、模块化的攻击模式，通过投递器（

7、Dropper）、远程访问马（RAT）等具逐步建据点，最终实施勒索攻击和数据外传。特别值得注意的是，该组织在攻击过程中展现出对合法具的滥能，包括远程管理具（RMM）的恶意使，以及对企业常软件漏洞的快速利能。其攻击活动具有以下显著特征：度模块化：在边界突破、据点建、横向移动、数据渗出每个阶段，都配备专门的具和技术案。商业化态：量使商业化的攻击具和服务，包括MaaS（恶意软件即服务）、PaaS（打包器即服务）等，降低技术门槛的同时提升攻击效率。持续演进：密切关注安全防护技术的发展，及时更新攻击具和策略，展现出强的适应能。4BLACKBASTA勒索组织内部泄密事件分析报告 隐蔽性强：通过多层代理、流

8、量混淆、合法具滥等段，有效规避安全检测。标精准：采鱼叉式钓鱼等针对性攻击段，结合标情报收集，提攻击成功率。在后续内容中，我们将详细分析该组织在各个攻击阶段的具体技战术，包括边界突破、据点建、横向移动、命令控制等环节的技术细节和演进趋势。3.1.1 边界突破-令交易及漏洞利 该组织起源于Conti等知名勒索组织，使得BlackBasta延续了其经典技战术，在边界突破上，该组织会购买Qakbot等知名恶意软件获取初始令等访问权限如：cisco vpn、paloalto vpn、forticlient vpn、Microsoft Remote Desktop Web Access 令等，可以看到其中

9、不乏存在些政府类标。图1 多种VPN设备令 5BLACKBASTA勒索组织内部泄密事件分析报告同时其还搭建并长期维护个爆破络，从记录显来看，其每个于爆破服务器的开销为625$，其中包含数个爆破节点以及量爆破产的流量费。以爆破cisco、rdweb、forti令等进标突破。并且时刻关注价值应漏洞，像GlobalProtect RCE（CVE-2024-3400）、Fortinet FortiOS RCE（CVE-2024-1762）、ScreenConnect RCE（CVE-2024-1709）等，同时会问些0day服务商购买些RCE 0day进初步的攻击活动。3.1.2 边界突破-社钓鱼技战

10、法演进 1）鱼叉式钓鱼攻击为主的定向钓鱼 该组织成员分明确，擅长针对性钓鱼诱骗，组织内部长期维护份攻击标列表。先会从勒索价值层筛选价值标公司，然后会选择泄露信息较多和权限的内部员，从提边界突破的概率。根据聊天记录和泄露的量钓鱼页和钓鱼域名来看，表明他们特别喜欢选取vpn、sso等企业，进凭据钓鱼攻击。图2 VPN钓聊天记录 6BLACKBASTA勒索组织内部泄密事件分析报告图3 仿冒的VPN钓 2）钓鱼策略复杂多样 该组织的钓鱼段策略较为复杂，除了使传统的邮件直接与标接触外，还擅长使电话和teams进钓鱼攻击。在电话钓鱼前，攻击者会提前收集掌握标员的份信息，包括姓名、机号、邮箱等，在电话接触前

11、先发送量可疑邮件，从引起标恐慌，然后打电话冒充技术持员，并利掌握到的信息获取信任，从诱骗受害者安装RMM软件进主机控制。图4 部分钓话术主题 7BLACKBASTA勒索组织内部泄密事件分析报告积极利TeamsPhisher开源具，针对teams标员进钓鱼攻击，攻击者会构造迷惑性名称，让受害者误以为是标组织的公共部门，如：信息持、政管理等。图5 TeamPhisher社具 3）积极利商业钓鱼平台和新型钓鱼技术 2024年开始，攻击者开始考虑迁移勒索地下态的，商业社钓鱼辅助平台，该平台能够成恶意挂马页及档，欺骗户点击下载载荷，绕过web标记和本地杀软。图6 商业钓平台挂 8BLACKBASTA勒索

12、组织内部泄密事件分析报告图7 商业钓平台项数据展示 3.1.3 建据点-分阶段马&商业载荷打包平台 攻击者采多阶段载荷执策略，通过分阶段交付恶意软件来建据点。这种法包括使投递器（Dropper）初始感染系统，进步部署远程访问马（RAT）如Pikabot。这种分阶段法能让每个阶段看起来较不显眼，从提整体攻击的成功率。攻击者倾向于购买商业服务，如恶意软件即服务（MaaS），以获取预制且具有规避能的恶意软件，降低技术门槛。除此以外，攻击者倾向于利商业PaaS(Packer-as-a-service)商业载荷打包平台对样本进进步的处理，以应对不同的av/edr强对抗场景。1）Dropper-商业载荷投

13、递器 投递器是多阶段攻击策略的起点，为后续更复杂的恶意活动铺平道路。它具备快速成、快速抛弃和批量投递的特点，作为道屏障，减少主控马直接暴露的风险，同时通过短暂的命周期和多样化的分发式增加溯源难度。BlackBasta倾向于借助商业服务确保投递器的基础免杀能，同时根据标环境和攻击需求，灵活选HTA+JS或DarkGate等不同投递器，以兼顾隐蔽性、对抗性和适性。9BLACKBASTA勒索组织内部泄密事件分析报告攻击者常使类商业载荷投递器，以HTA和JavaScript为核。通过结合HTA件加载JavaScript脚本，这类投递器能通过链接或邮件分发，最终在受害者系统上执EXE或MSI格式的恶意载

14、荷，操作简单且易于隐藏。DarkGate是其使的另款商业载荷投递器，以其强的对抗性著称。2018年次发现以来，DarkGate持续活跃，能够下载并运其他有害程序。作为多途恶意软件具包，它常于发起勒索软件等复杂攻击，凭借多态shellcode、全加密通信等级规避技术和快速执能，远超普通下载器，对攻击者极具吸引。2）RAT-轻量级远程访问马 RAT是攻击者于远程操控受害者系统的具，处于承上启下的关键位置。它通过批量上线控制量标，为下阶段的主控C2马载荷铺路，同时具备定的对抗能，以确保在感染初期的隐蔽性与稳定性。BlackBasta偏好商业化的RAT解决案，以确保基础的对抗能与部署效率。通过从Qak

15、bot转向Pikabot，他们灵活适应执法压，利不同RAT的特性满远程控制与后续攻击的需求。攻击者最初依赖Qakbot作为主要的RAT具。然，Qakbot在23年4份执法动中被取缔后，他们转向Pikabot。Pikabot是种模块化后门马，2023年初亮相以来迅速崭露头。它持执任意命令、注恶意代码，并采反虚拟机、反调试、间接系统调及运时字符串解密等级规避技术，使其在沙箱环境中难以被分析，幅提升隐蔽性与存能。3）PaaS-商业化载荷加壳平台 PaaS（Packer-as-a-Service，打包器即服务）是种提供载荷封装的商业化服务平台，帮助攻击者通过动化具成免杀样本，以适应多样化的攻击需求。B

16、lackBasta利PaaS服务封装其载荷，有效提升隐蔽性、对抗性和部署效率，降低开发成本并规避检测。Crypto平台是种商业化载荷加壳器，其核优势在于持多种模板动化成免杀样本，内置系统调等对抗技术。它能够对Cobalt Strike等主流C2武器的载荷进封装，帮助攻击者在规避检测的同时快速适配标环境。BlackBasta借助Crypto等商业化PaaS服务，确保载荷具备基础免杀能与对抗性。通过灵活选择打包案，攻击者能效应对不同场景的防御机制，提升攻击成功率。10BLACKBASTA勒索组织内部泄密事件分析报告图8 Crypto 商业化载荷加壳免杀平台 3.1.4 命令控制-商业化C2具&RM

17、M 1）主控C2由CobaltStrike向BRC4转变 该攻击组织以Cobalt Strike（CS）作为主控C2，结合插件运，展现出度的专业性与针对性，尤其关注内存对抗及绕过AV/EDR检测，并始终采最新版本，从4.8升级4.9。其具集涵盖内存对抗、域内攻击、信息收集、样本免杀和为隐蔽等多个领域，通过融合官插件与开源具，灵活调整策略以提升攻击效率并规避安全检测。这反映了其深厚的技术能、对标环境的深刻理解以及模块化、多样化的攻击框架，使其能够有效应对复杂的企业络环境。除此以外，BlackBasta还使RedGuard、BounceBack 前置设施隐藏的CS服务基础设施，增强了该组织的隐蔽性

18、。插件名称插件来源类别a开源插件内存对抗elusiveMa/a开源插件内存对抗kerbeus_a开源插件域内攻击MachineAa开源插件域内攻击SA.cna开源插件信息收集CustomProcessCa攻击辅助ProcessCa开源插件攻击辅助FilesCa开源插件攻击辅助11BLACKBASTA勒索组织内部泄密事件分析报告由于Cobalt Strike在对抗性逐渐暴露出局限性，该攻击组织从2024年初开始积极探索并切换到BRC4（Brute Ratel C4）作为其新的C2具。这转变标志着其在技术策略上的重调整，旨在提升攻击的隐蔽性和成功率。尽管BRC4在某些场景下可能会触发Cortex和

19、Cylance等安全产品的警告，但其在设计上具备更强的对抗性，尤其是在绕过EDR检测和模拟合法为表现出。因此，该组织将其作为Cobalt Strike的替代案，并计划通过优化配置或结合其他技术段来规避安全告警，显出其在技术升级和对抗防御的持续适应能。2）滥合法远程管理具RMM 攻击者通过滥合法远程管理具（RMM）对标系统实施补充的命令与控制（C2），利这些具的合法性与功能性掩盖恶意为。这些RMM具因其合法途泛应于IT管理，攻击者利其固有特性（如加密通信、便携部署和系统级权限）实现隐蔽的命令控制。它们能绕过防病毒软件和EDR检测，因其为与正常管理活动度相似。此外，攻击者常通过社交程或漏洞利部署这

20、些具，进步提升隐蔽性与成功率。例如，AnyDesk和TeamViewer常于快速建C2通道，Tactical RMM和MeshCentral的开源特性使其更易被定制于恶意的。arsenal_a官插件样本/为/内存对抗具名称类别使RMM进命令控制在隐蔽性的优势AnyDesk远程桌控制轻量化便携式执件需安装，利合法证书绕过安全检测，流量加密隐藏C2通信。TeamViewer远程访问与持泛使且受信任，快速部署需复杂配置，攻击者可通过社交程诱导户安装，难以与合法使区分。Syncro远程监控与管理集成MSP功能，持脚本执与持久化，流量融正常管理活动，降低被标记为异常的可能性。Wise RMMIT管理与监

21、控提供全设备管理功能，攻击者可利其内置具执命令，伪装成管理员为，隐蔽性。Tactical RMM开源远程管理开源特性便于定制与混淆，结合MeshCentral提供快速远程控制，绕过传统检测机制。MeshCentral远程桌与管理持跨平台与浏览器访问，端到端加密通信，开源性质使其易于修改，隐藏恶意活动于合法流量中。12BLACKBASTA勒索组织内部泄密事件分析报告3.1.5 横向移动-域内攻击 该组织使powershell命令进域内的初步信息收集，同时也使BloodHound进域内数据分析，其常使Cobalt Strike中的.NET反射加载，利Rebeus、SharpShares、Sharp

22、SecDump、ShadowSpray等具进域内的信息收集和横向移动，同时在该组织的聊天中发现其也熟练掌握impacket、certify等具的攻击利式。更值得关注的点在于其对Kerberoasting攻击的熟练利，在勒索态链条中存在对于加密令爆破的服务商，通过对Kerberoasting产的令进爆破，达成直接访问域内重要系统的的。图9 Kerberoasting凭据爆破 从上图我们可以看出，当企业安全产品告警了Kerberoasting攻击后，定要产警惕，并及时查涉及的Kerberoasting账号，做到对应账号的令修改，才能在制住下步的攻击活动。3.2 组织情报分析3.2.1 组织演变：源

23、起Conti与Revil，重事件导致品牌重塑 1）组织溯源与员构成 BlackBasta组织作为近年来活跃的勒索软件组织，其核成员主要来两知名络犯罪集团：Conti和Revil。这员构成不仅为BlackBasta带来了成熟的技术能，也使其继承了前组织的运作模式与犯罪经验。图10 BlackBasta内部记录揭露与Conti关系 2）重事件影响，品牌重塑进中 13BLACKBASTA勒索组织内部泄密事件分析报告2024年5，BlackBasta组织针对美国Ascension医疗机构发起规模勒索攻击，导致560万患者的医疗数据与医疗服务受到严重影响。这事件引发了美国执法部门的度关注，并招致社会各界

24、的强烈谴责。鉴于此次攻击事件造成的恶劣影响，BlackBasta组织已明确表将进品牌重塑。其核成员透露，组织正在实施品牌重塑计划，这也与外部观察到的BlackBasta的活跃度降低相印证，具体步骤如下：逐步建新的组织标识与运作模式 在过渡期内保持新品牌的并运作 调整攻击策略以规避执法部门的追踪 3.2.2 BlackBasta勒索组织员结构与职能 本次BlackBasta勒索组织内部情报的泄露，彻底揭了其严密的组织架构和职能分。该组织由多个核成员构成，各承担着不同的专业职能，并配备了线攻击，形成了个多层次、专业化的协同络。从攻击的策划到实施，每个阶段都有专负责，展现了度的专业性和协同性，尤其是

25、在社会程学等领域的深度合作。此外，组织内还设有专门的基础设施运营和维护团队，负责确保攻击基础设施的隐蔽性和对抗能，以规避安全检测和追踪。组织内部结构层次分明，包括主要负责、中层管理员、综合信息处理员以及实施员，构成了个分明确、运作效的犯罪络。图11 BlackBasta组织员架构 14BLACKBASTA勒索组织内部泄密事件分析报告四、针对本次事件的思考 4.1 防御勒索攻击 勒索态系统变化趋势：RaaS勒索态下，线攻击团伙与勒索平台互相选择与博弈，进步去中化；勒索与实攻击的复杂化，采各种合法武器具平台、对抗性能等，给络安全带来更的安全挑战。此企业在防御勒索攻击不仅仅靠传统的勒索演练去降低可能

26、造成的危害程度，是要衡量多维度的在企业的安全防御体系下实现勒索有效性验证，进步的将勒索攻击中的攻击步骤进有效的安全验证，从在企业整个防御体系中降低勒索攻击带来的风险、增强勒索攻击实施的难度、有效阻断勒索攻击步骤、确保企业能够有效防护勒索攻击。4.2 隐性络战 勒索团伙与地缘政治密不可分，和国家级APT攻击组织存在共技战法和武器的可能性。勒索组织让勒索额做到微妙控制，避免被分析为敌对国家的攻击活动，其以搅乱政府与社会和谐为真实的，达成隐性络战。对复杂的地缘政治形式，以及具技战法演化，企业更应该采取更有效的防御段。从价值的威胁情报侧、质量的攻击有效性验证侧、强模拟性的钓鱼演练侧等提企业的安全位，降

27、低企业在隐性络战中所遭受的安全影响。本次事件虽然没有NSA、APT34等客组织泄露事件影响那么，是因为勒索这个词汇在我们的普遍认知还处于个国家级的络犯罪团伙的概念中，这次的地域级勒索组织泄漏事件对于安全企业和拥有企业蓝军的企业中是值得关注和研究的。隐性络战处不在，企业将对更严峻的安全考验，以这次的事件中产的攻击和对抗问题形成次真实的沙盘推演在企业蓝军中也是很值得去做的。4.3 LLM辅助威胁分析 在本次络安全事件中，针对泄露的量聊天对话数据，采检索增强成（RAG）技术进辅助分析，已成为种效且通的解决案，并取得了显著成效。处理海量结构化数据并从中提取有价值的信息（如令凭据、攻击具、战术技术等）直

28、是安全分析领域的重挑战。基于语模型（LLM）构建的智能代理，凭借其出的灵活性和适应性，能够快速构建应系统，有效解析海量结构化威胁情报。我们基于RAG技术从聊天记录中提取关键安全信息，包括但不限于令凭据、敏感数据等，为本次威胁情报分析提供了有持，应效果如下图所：15BLACKBASTA勒索组织内部泄密事件分析报告图12 BlackBasta解析Agent提取泄漏数据中的凭据 图13 RAG查询中泄露凭据对应的原始记录 16BLACKBASTA勒索组织内部泄密事件分析报告通过将LLM与RAG技术相结合，不仅显著提升了结构化威胁情报的分析效率，还为络安全事件的快速响应和处置提供了新的技术段。这种创新

29、性的应法，为未来络安全分析作开辟了新的向。五、安全建议 5.1“CT猎影”暗威胁风险评估服务传统暗情报服务受限于信息滞后性与碎化特征，多依赖被动采集暗论坛等公开渠道的表层数据，难以形成有效预警能。绿盟科技C情报团队凭借最新技术创新，实现了对暗威胁的深度观测，实时捕捉威胁动态，从源头追踪威胁组织的活动，提前发现针对企业的潜在攻击威胁。2024年绿盟科技已帮助国内及港澳多家企业单位发现和阻断正在发的勒索攻击，累计拦截千万美元赎勒索和数据泄露事件的发。绿盟科技基于业独有的C情报监控能，现提供暗威胁风险评估服务，基于情报视从暗0day/1day漏洞、已经感染的失陷主机、正在市交易的数据和初始访问权限以

30、及最新次暗暴露等维度，全评估企业在暗中的威胁暴露程度或遭受勒索攻击的可能性，同时对企业实际临的勒索威胁进深度分析，针对性预警将要发或阻断可能正在发的勒索攻击。5.2“CT孪”勒索演练服务 绿盟科技拥有业领先的勒索威胁研究积累，通过专业化的团队和虚拟化形式，提供实战化勒索演练服务，完整模拟顶级勒索组织的攻击场景，涵盖完整的勒索攻击链、四典型攻击场景、五核攻击阶段，以及多个真实勒索态样本具，演练场景中所有的模拟攻击为均源于实际的勒索案例，1:1完整仿真勒索组织的实际攻击场景和链条，让企业安全团队在受控条件下完整检验应对勒索威胁的能。17BLACKBASTA勒索组织内部泄密事件分析报告图14“CT孪

31、”勒索演练服务 实战化的勒索演练不仅模拟单个攻击步骤或样本，是完整呈现整个攻击链和攻击场景。这种度真实的仿真演练，就像企业对了次真实的勒索攻击，不仅有助于企业验证当下安全防护产品、安全防护策略、应急响应流程在勒索场景下的有效性，且有助于加强相应的勒索防御提升措施，有效抵御勒索攻击的威胁，全提升企业对勒索攻击时的应急响应能。六、参考 https:/ https:/ https:/threatmon.io/the-implosion-of-black-basta-a-deep-dive-into-the-leaked-chat-logs-and-operational-collapse/https:/