Blackbasta Fidye Yazılımı Operasyonu, sosyal mühendislik saldırılarını Microsoft ekiplerine taşıdı ve kurumsal yardım masaları olarak devam eden bir spam saldırısına yardımcı olmak için çalışanlar ile temasa geçti.
Black Basta, Nisan 2022'den bu yana aktif olan ve dünya çapında şirketlere karşı yüzlerce saldırıdan sorumlu bir fidye yazılımı operasyonudur.
Conti siber suç sendikası, Haziran 2022'de bir dizi utanç verici veri ihlali sonrasında kapatıldıktan sonra, operasyon birden fazla gruba ayrıldı ve bu gruplardan biri siyah Basta olduğuna inanıldı.
Black Basta üyeleri, güvenlik açıkları, ortaklık isteği kötü amaçlı yazılım botnetleri ve sosyal mühendislik dahil olmak üzere çeşitli yöntemlerle ağları ihlal eder.
Mayıs ayında Rapid7 ve Reliaquest, hedeflenen çalışanların gelen kutularını binlerce e -posta ile dolduran yeni bir Black Basta Sosyal Mühendislik kampanyasında tavsiyelerde bulundular. Bu e-postalar, çoğunlukla bültenlerden, kayıt onaylarından ve e-posta doğrulamalarından oluşan doğada kötü niyetli değildi, ancak bir kullanıcının gelen kutusunu hızla boğdular.
Tehdit aktörleri, bunalmış çalışanı çağıracak ve şirketlerinin BT yardım masası olarak spam sorunlarında onlara yardımcı olmak için poz vereceklerdi.
Bu sesli sosyal mühendislik saldırısı sırasında, saldırganlar kişiyi AnyDesk uzaktan destek aracını yüklemeye veya Windows Hızlı Yardımı Uzaktan Kumanda ve Ekran paylaşım aracını başlatarak Windows cihazlarına uzaktan erişim sağlamaya kandırır.
Oradan, saldırganlar, kullanıcının kurumsal cihazına sürekli uzaktan erişim sağlayan screenconnect, Netsupport yöneticisi ve Cobalt Strike gibi çeşitli yükler yükleyen bir komut dosyası çalıştıracaklardı.
Artık Black Basta üyesi kurumsal ağa erişim kazandığına göre, ayrıcalıkları yükseltirken, verileri çalırken ve nihayetinde fidye yazılımı şifrelemesini dağıtarken diğer cihazlara yanal olarak yayılacaklardı.
Reliaquest'in yeni bir raporunda, araştırmacılar Black Basta iştiraklerinin Ekim ayında Microsoft ekiplerini kullanarak taktiklerini geliştirdiklerini gözlemlediler.
Önceki saldırı gibi, tehdit aktörleri önce bir çalışanın e -posta ile gelen kutusunu ezer.
Bununla birlikte, saldırganlar artık onları aramak yerine, Microsoft ekipleri aracılığıyla çalışanlarla iletişime geçiyorlar, burada kurumsal olarak taklit ettikleri, spam problemlerinde onlara yardımcı olmak için çalışanla iletişim kurma masası.
Hesaplar, Yardım Masası gibi görünen entra kimlik kiracıları altında oluşturulmuştur:
Yeni Reliaquest raporunu, "Bu harici kullanıcılar, hedeflenen kullanıcıyı bir yardım-desk hesabıyla iletişim kurduklarını düşündürmek için tasarlanmış bir" DisplayName "olarak ayarlayın."
"Gözlemlediğimiz hemen hemen tüm durumlarda, ekran adı, genellikle sohbet içinde adı ortadan kaldırması muhtemel Whitespace karakterleriyle çevrili" Yardım Masası "dizesini içeriyordu. Ayrıca, tipik olarak hedeflenen kullanıcıların eklendiğini gözlemledik. "Oneonone" sohbet. "
Reliaquest, sohbetlerde QR kodları gönderen tehdit aktörlerini de gördüklerini ve bu da QR-S1 [.] Com gibi alanlara yol açtıklarını söylüyor. Ancak, bu QR kodlarının ne için kullanıldığını belirleyemediler.
Araştırmacılar, harici Microsoft ekiplerinin kullanıcılarının Rusya'dan geldiğini ve zaman dilimi verilerinin düzenli olarak Moskova'dan geldiğini söylüyor.
Amaç, hedefi herhangi bir şey yüklemeye veya hızlı yardımı başlatmak için bir kez daha kandırmaktır, böylece tehdit aktörleri cihazlarına uzaktan erişim elde edebilir.
Bağlandıktan sonra, tehdit aktörleri "antispamaccount.exe", "antispamupdate.exe" ve "antispamconnectus.exe" adlı yükleri kurarken görüldü.
Diğer araştırmacılar, Black Basta'nın geçmişte kullandığı bir proxy kötü amaçlı yazılım olan SystemBC olarak Virustotal'a Antispamconnectus.exe'yi işaretlediler.
Nihayetinde, ağa doğru ilerlemek için bir sıçrama tahtası görevi görmesi için uzlaşmış cihaza tam erişim sağlayan Cobalt Strike yüklenir.
Reliaquest, kuruluşların Microsoft ekiplerindeki harici kullanıcılardan iletişimi kısıtlamasını ve gerekirse yalnızca güvenilir alanlardan izin vermesini önerir. Şüpheli sohbetler bulmak için özellikle ChatCreated etkinliği için günlüğe kaydetme de etkinleştirilmelidir.
Moneygram: Son Cybertack'in arkasında hiçbir kanıt fidye yazılımı yok
Rusya Cezaları Revil Fidye Yazılım Üyelerini 4 yıldan fazla hapis cezasına çarptırdı
Henry Schein, fidye yazılımı saldırısından bir yıl sonra veri ihlalini açıklar
Sigorta Yöneticisi Landmark, veri ihlalinin 800.000 kişiyi etkilediğini söylüyor
Yeni Qilin Fidye Yazılımı Şifreleyicisi daha güçlü şifreleme, kaçırma özelliklerine sahiptir
Kaynak: Bleeping Computer