Fidye yazılımı çeteleri giderek daha fazla e -posta bombardımanını benimsiyor ve ardından Microsoft Teams'de çalışanları uzaktan kumanda ve şirket ağına erişim sağlayan kötü amaçlı yazılımlar yüklemeye yönelik çağrılarda teknoloji desteği olarak poz veriyor.
Tehdit aktörleri kısa bir süre boyunca binlerce spam mesajı gönderiyor ve daha sonra BT desteğini sağlıyormuş gibi davranan rakip kontrollü bir ofis 365 örneğinden hedefi arıyor.
Bu taktik, geçen yılın sonlarından beri Black Basta fidye yazılımlarına atfedilen saldırılarda gözlemlendi, ancak siber güvenlik şirketindeki araştırmacılar Sophos, FIN7 grubuna bağlanabilecek diğer tehdit aktörleri tarafından kullanıldığını gördüler.
Şirket çalışanlarına ulaşmak için, bilgisayar korsanları, harici alanlardan çağrılara ve sohbetlere izin veren hedeflenen kuruluşta varsayılan Microsoft Teams yapılandırmasından yararlanır.
Sophos'un araştırdığı ilk kampanya, araştırmacıların dahili olarak STAC5143 olarak izlediği bir gruba bağlandı. Bilgisayar korsanları, 45 dakikada 3.000 oranında büyük sayıda mesajı e -postayla göndererek başlattı.
Kısa bir süre sonra, hedeflenen çalışan “Yardım Masa Yöneticisi” adlı bir hesaptan harici bir ekip çağrısı aldı. Tehdit oyuncusu kurbanı Microsoft ekipleri aracılığıyla bir uzak ekran kontrol oturumu kurmaya ikna etti.
Saldırgan, harici bir SharePoint bağlantısında barındırılan bir Java Arşivi (JAR) dosyası (JAR) dosyası (MailQueue-Handler.jar) ve Python komut dosyaları (Rpivot Backdoor) bıraktı.
JAR dosyası, kötü amaçlı bir DLL (nethost.dll) yan yüklü meşru bir protonvpn yürütülebilir dosyasını indirmek için PowerShell komutlarını yürüttü.
DLL, harici IPS ile şifreli bir komut ve kontrol (C2) iletişim kanalı oluşturur ve saldırganlara tehlikeye atılan bilgisayara uzaktan erişim sağlar.
Saldırgan ayrıca sistem ayrıntılarını kontrol etmek için Windows Management Enstrümantasyon (WMIC) ve Whoami.exe'yi çalıştırdı ve komut göndermek için SOCKS4 proxy tünellemesine izin veren bir penetrasyon test aracı olan RPIVOT'u yürütmek için ikinci aşamalı Java kötü amaçlı yazılımını dağıttı.
Rpivot geçmişte Fin7'nin saldırılarında kullanılmıştır. Ek olarak, kullanılan gizleme teknikleri daha önce FIN7 kampanyalarında da gözlemlenmiştir.
Bununla birlikte, hem rpivot hem de gizleme yönteminin kodu kamuya açık olduğundan, Sophos STAC5143'ün FIN7 aktivitesine saldırılarını yüksek güvenle bağlantı kuramaz, özellikle FIN7'nin geçmişte araçlarını diğer siber suçlu çetelere sattığı bilinmektedir.
Araştırmacılar, “Sophos, bu saldırıda kullanılan Python kötü amaçlı yazılımlarının FIN7/Sangria Tempest'in arkasındaki tehdit aktörlerine bağlı olduğunu orta güvenle değerlendiriyor” diye açıklıyor.
Saldırı son aşamaya ulaşmadan önce durdurulduğundan, araştırmacılar bilgisayar korsanlarının hedefinin veri çalmak ve daha sonra fidye yazılımı dağıtmak olduğuna inanıyorlar.
İkinci kampanya 'STAC5777' olarak izlenen bir gruptan geliyordu. Bu saldırılar da e -posta bombalama ile başladı ve bunu BT destek departmanından geldiğini iddia eden Microsoft Teams mesajları izledi.
Bu durumda, kurban, Azure Blob Storage'da barındırılan kötü amaçlı yazılımları indirmek için kullandıkları saldırganlara uygulamalı klavye erişimini sağlamak için Microsoft Hızlı Assist'i kurmaya kandırıldı.
Kötü amaçlı yazılım (winhttp.dll), meşru bir Microsoft OneDrivestanDaloneUpdater.exe işlemine yandan yüklenir ve bir PowerShell komutu, System Startup'ta yeniden başlatılan bir hizmet oluşturur.
Kötü niyetli DLL, kurbanın tuş vuruşlarını Windows API'si aracılığıyla günlüğe kaydeder, dosyalardan ve kayıt defterinden saklanan kimlik bilgilerini hasat eder ve SMB, RDP ve WINRM aracılığıyla potansiyel döndürme noktaları için ağı tarar.
Sophos, STAC5777’nin Black Basta fidye yazılımlarını ağa dağıtma girişimini gözlemledi, bu nedenle tehdit oyuncusu muhtemelen ünlü fidye yazılımı çetesiyle ilişkilidir.
Araştırmacılar, tehdit oyuncusunun yerel not defteri ve dosya adında 'şifre' olan kelime belgelerine erişmesini gözlemlediler. Bilgisayar korsanları ayrıca muhtemelen olası kimlik bilgileri arayan iki uzak masaüstü protokol dosyasına erişti.
Bu taktikler fidye yazılımı alanında daha yaygın hale geldikçe, kuruluşlar harici alanların Microsoft ekiplerine mesajlar ve çağrılar başlatılmasını engellemeyi ve kritik ortamlarda hızlı yardımı devre dışı bırakmayı düşünmelidir.
BT Unit, Sunucuları Çevrimdışı Aldı Siyah Basta Fidye Yazılımı İhlali
Etiket devi Avery, web sitesinin kredi kartlarını çalmak için hacklendiğini söylüyor
S3 kovalarını şifrelemek için Amazon AWS özelliğini kötüye kullanan fidye yazılımı
OneBlood, Temmuz fidye yazılımı saldırısında çalınan kişisel verileri onaylıyor
Fidye yazılımı çetelerine bağlı Cryptomixer'ların ABD Ücretleri Operatörleri
Kaynak: Bleeping Computer