Bilgisayar korsanları genellikle uzaktan yardım araçlarını hedef alır çünkü bunlar, istenen sistemlere minimum çabayla erişmek için doğrudan bir kanal oluştururlar.
Bu araçlar, uzaktan kontrol ve erişim amacıyla oluşturulmuştur; bu da onları, ağları hacklemek veya belirli cihazları ele geçirmek isteyen saldırganlar için oldukça çekici hedefler haline getiriyor.
Microsoft, Storm-1811 grubunun Black Basta fidye yazılımını dağıtan sosyal mühendislik saldırıları için Hızlı Yardım’ı kullandığını gözlemledi.
Quick Assist’in Uzaktan Erişiminden Yararlanma
Saldırılar, ilk tehlike için Quick Assist’in uzaktan erişimini kullanarak ve ardından aşağıdaki gibi kötü amaçlı yazılımları dağıtarak başlar: –
Microsoft, teknik destek dolandırıcılıklarına karşı Hızlı Yardım uyarılarını iyileştirirken algılamalar kötü amaçlı etkinlikleri engeller. Kullanılmayan uzak araçların engellenmesi ve dolandırıcılıkların tanınması konusunda kullanıcı eğitimi riski azaltabilir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Tehdit faaliyetlerine katılan tehdit aktörleri, tehditkar saldırılar gerçekleştirmek ve hedef kişileri kandırarak onlara Hızlı Yardım uzaktan erişimi sağlamak için BT desteğini taklit eder.
Bunu genellikle bir sorunu çözüyormuş gibi yaparak veya e-posta akınına yanıt olarak spam yardımı sunarak yaparlar.
Görüşme sırasında Microsoft, kurbanın Hızlı Yardım’ı başlatmasını, verilen kodu girmesini, ekran paylaşımını etkinleştirmesini ve kontrol erişimi vermesini sağladığını ve bunun sonucunda cihazın tamamen tehlikeye atıldığını söyledi.
Kontrol, kimlik bilgilerini toplamak amacıyla bazen spam filtresi güncellemeleri gibi görünen kötü amaçlı yükleri indirmek için komut dosyalarının çalıştırıldığı Hızlı Yardım aracılığıyla devralınır.
Gözlemlenen yüklerden bazıları Qakbot’un yanı sıra ScreenConnect ve Cobalt Strike gibi uzaktan yönetim araçlarını içeriyordu; bu da sonunda Storm-1811 grubunun Qakbot ve Cobalt Strike erişimlerini kullanarak Black Basta fidye yazılımının yayılmasına yol açtı.
Saldırganlar, ilk erişimden sonra kalıcılık ve yatay hareket için ScreenConnect’i, uzaktan kontrol için NetSupport Manager’ı ve OpenSSH tünellemeyi kullanıyor.
Etki alanı numaralandırması gerçekleştiriyorlar ve Storm-1811’in Qakbot ve Cobalt Strike erişiminden alınan Black Basta fidye yazılımını dağıtmak için PsExec’i kullanıyorlar.
Black Basta, birkaç aktör tarafından dağıtılan kapalı bir fidye yazılımıdır. Fidye yazılımı öncesi aşamalara odaklanırken ilk erişim aracılarına güvenmek tehdidin etkisini azaltır.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Hızlı Yardım gibi kullanılmayan uzak araçları engelleyin ve kaldırın ve Uzaktan Yardım gibi güvenli alternatifleri kullanın.
- Kullanıcıları teknik destek dolandırıcılıklarını tanımlama ve yetkisiz uzaktan erişim sağlamama konusunda eğitin.
- Şüphelenilen kötü niyetli uzak oturumları ve teknik destek dolandırıcılıklarını bildirin.
- Kullanıcıları bilgileri koruma, kimlik avını tespit etme ve keşif girişimlerini bildirme konusunda eğitin.
- Office 365 için Defender gibi kimlik avına karşı koruma çözümleri uygulayın.
- Antivirüste bulut tarafından sağlanan korumayı ve kurcalamaya karşı korumayı etkinleştirin.
- Kötü amaçlı etki alanlarına karşı ağ korumasını açın.
- Defender for Endpoint’te otomatik araştırma ve düzeltmeyi kullanın.
- Microsoft’un fidye yazılımı sağlamlaştırma kılavuzunu izleyin.
IoC’ler
Alan isimleri:
- upd7a[.]iletişim
- upd7[.]iletişim
- upd9[.]iletişim
- güncelleme5[.]profesyonel
SHA-256:
- 71d50b74f81d27feefbc2bc0f631b0ed7fcdf88b1abbd6d104e66638993786f8
- 0f9156f91c387e7781603ed716dcdc3f5342ece96e155115708b1662b0f9b4d0
- 1ad05a4a849d7ed09e2efb38f5424523651baf3326b5f95e05f6726f564ccc30
- 93058bd5fe5f046e298e1d3655274ae4c08f07a8b6876e61629ae4a0b510a2f7
- 1cb1864314262e71de1565e198193877ef83e98823a7da81eb3d59894b5a4cfb
ScreenConnect Rölesi:
- örnek-olqdnn-relay.screenconnect[.]iletişim
NetSupport C2:
Kobalt Saldırı İşareti C2:
- zziveastnews[.]iletişim
- realsepnews[.]iletişim
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free