儘管 Black Basta 勒索軟體集團因 2025 年初內部聊天紀錄外洩而聲勢大跌,但近期跡象顯示,部分前成員仍未退場,甚至以全新策略重回攻擊舞台。他們延續過往慣用的攻擊模式,如電子郵件轟炸與微軟Teams 網釣,並進一步加入 Python 腳本與 cURL 下載惡意載荷的技術,持續對企業網路進行滲透與長期滯留。
根據 ReliaQuest分享的研究報告指出,從 2025 年 2 月至 5 月期間,觀察到的微軟Teams 網釣攻擊中,有近一半是透過 onmicrosoft[.]com 網域發起,另有 42% 利用已遭入侵的合法網域作為跳板,藉此提高隱蔽性並模擬合法流量。
模仿內部人員身分攻擊金融與建築業
攻擊者不僅技術上持續演化,也在社交工程上下足功夫。例如,在針對金融與保險、建築等產業的攻擊中,攻擊者偽裝成 IT 支援人員發送 Teams 訊息,誘騙受害者點擊連結並下載遠端桌面協助工具(如 Quick Assist 或 AnyDesk),取得遠端控制權限。
緊接著,攻擊者會從遠端伺服器下載惡意 Python 腳本,建立與 C2(Command and Control)伺服器的持續連線。ReliaQuest 強調:「Python 腳本的導入,代表這類針對 Teams 平台的社交工程攻擊正持續進化,預期未來將變得更加普遍。」
從 Black Basta 走向 CACTUS、BlackSuit 與 DragonForce
雖然 Black Basta 資料外洩站點已關閉,但其技術與策略卻未隨之消失。ReliaQuest 推測,部分成員可能已轉投其他 RaaS(勒索軟體即服務)集團,最有可能的是 CACTUS。根據洩漏的對話內容,Black Basta 領導人 “Trump” 曾提及向 CACTUS 轉帳 50 至 60 萬美元。
然而 CACTUS 自 2025 年 3 月以來未再公開新一輪資料洩露事件,引發外界猜測其是否已解散,或是轉為低調運作。另一可能性是部分成員已併入新興勒索軟體集團 BlackLock,該集團據信正與 DragonForce 勒索聯盟合作。
Java RAT、雲端代理與多樣化工具鏈
根據 Rapid7 分析,這些攻擊通常會下載並執行 Java 為基礎的 RAT(遠端存取木馬),過去在 Black Basta 攻擊中便已出現。新版 RAT 利用 Google Drive、OneDrive 與 Google Sheets 等雲端平台,作為指令的代理通道,繞過傳統網路監控機制。
RAT 功能強大,可實現:
- 在受害端與遠端之間傳輸檔案
- 建立 SOCKS5 proxy 通道
- 窺取瀏覽器內儲存的帳密
- 偽造 Windows 登入畫面誘騙輸入憑證
- 動態下載與執行 Java 類別檔,避免落地痕跡
類似的攻擊還伴隨 QDoor(後門型隧道程式)、Rust 撰寫的自訂 SSH 載入器,以及 Python 開發的 RAT「Anubis」,在 Sophos 近期對 3AM 勒索軟體的研究中亦有出現。
勒索軟體攻擊全景:2025 年上半年趨勢
除了上述攻擊鏈演化,2025 年勒索威脅格局也持續快速變動:
- Scattered Spider:鎖定託管服務提供商(MSP)與 IT 業者,並利用 Evilginx 工具建立假冒登入頁面,繞過 MFA,再與 ALPHV、RansomHub、DragonForce 等大型勒索集團結盟,共同攻擊軟體漏洞,如 SimpleHelp 遠端桌面工具。
- Qilin(又名 Agenda、Phantom Mantis):從 5 月至 6 月間針對多家企業發動攻擊,利用 Fortinet FortiGate 漏洞(如 CVE-2024-21762、CVE-2024-55591)取得初始存取權限。
- Play(又名 Balloonfly、PlayCrypt):自 2022 年中以來已攻陷約 900 個目標,近期亦透過 CVE-2024-57727 影響大量美國機構。
- VanHelsing 勒索集團:因內部爭執,完整原始碼被管理員釋出,包括 TOR 金鑰、管理面板、聊天系統與資料庫。
- Interlock 勒索集團:針對英國地方政府與高等教育機構部署名為 NodeSnake 的 JavaScript 遠端木馬,具備持久性、系統探索與遠端指令執行能力。
結語:RAT 與社交工程的合流將成常態
正如 Quorum Cyber 所指出:「RAT 為攻擊者提供持久控制權,能夠導入其他惡意工具,進行數據竊取、系統操作,甚至銷毀資料。」
從 Black Basta 到 CACTUS、再到 BlackSuit 和 DragonForce,這些變種集團正在以更精密的手法重新組織與擴張,而微軟Teams、雲端服務與跨語言惡意程式(如 Java、Python、Rust)正成為攻擊鏈中不可或缺的一環。面對這樣的威脅組合,企業需在身分驗證、端點防護與員工資安意識培訓上同步升級,方能築起真正有效的防線。