Black Basta Çetesi Kötü Amaçlı Yazılım Yaymak İçin MS Teams ve E-posta Bombalamalarını Kullanıyor

   Aralık 10, 2024  Posted in HackRead


ÖZET

  • Black Basta Kampanyasının Dirilişi: Rapid7 araştırmacıları, Black Basta fidye yazılımı grubunun, taktikleri hassaslaştıran ve küresel çapta kuruluşları hedef alan karmaşık bir sosyal mühendislik kampanyası yürüttüğünü bildiriyor.
  • Geliştirilmiş Taktikler: Saldırganlar, uzaktan erişim elde etmek, MFA’yı atlamak ve kötü amaçlı yükleri yürütmek için e-posta bombalama, Microsoft Teams aracılığıyla kimliğe bürünme ve QuickAssist ve AnyDesk gibi araçları kullanır.
  • Kötü Amaçlı Araçlar: Tehdit aktörleri, Black Basta fidye yazılımını teslim etmeden önce kimlik bilgisi toplama, veri sızdırma ve kalıcılık için Zbot ve DarkGate gibi araçları kullanıyor.
  • Geliştirilmiş Yük Teslimatı: Güncellenen teknikler arasında özel paketleyicilerle gizleme, rundll32.exe aracılığıyla DLL yürütme ve gelişmiş kaçınma stratejileri yer alıyor.
  • Azaltma Stratejileri: Kuruluşlar, fidye yazılımı tehditlerini azaltmak için daha güçlü parola politikaları benimsemeli, güvenlik eğitimi sağlamalı ve gelişmiş savunmalar uygulamalıdır.

Rapid7’deki siber güvenlik araştırmacıları, ünlü Black Basta fidye yazılımı grubu (diğer adıyla UNC4393) tarafından başlatılan ve dünya çapındaki kuruluşları tehdit eden karmaşık bir sosyal mühendislik kampanyasına ilişkin soruşturmasını ayrıntılarıyla anlatan yeni bir rapor yayınladı.

Araştırmacılar, Black Basta fidye yazılımı operatörlerinin şu anda devam eden, ilk olarak Mayıs 2024’te bildirilen ve Ağustos 2024’te güncellenen sosyal mühendislik kampanyasıyla ilgili faaliyetlerin yeniden canlandığını gözlemledi.

Saldırganlar artık Microsoft Teams aracılığıyla gönderilen yemlerle yeni kötü amaçlı yazılım yükleri, gelişmiş teslimat ve artan savunmadan kaçınma dahil olmak üzere erken aşama prosedürlerini geliştirdiler.

Bildirildiğine göre kampanya, potansiyel kurbanları bunaltmak için bir dizi e-postanın gönderildiği e-posta bombardımanıyla başlıyor; bu, genellikle kullanıcıların e-postalarının aynı anda birden fazla posta listesine kaydedilmesiyle gerçekleştirilir. Saldırganlar, yardım sunan ve kullanıcıları sistemlerine uzaktan erişim sağlamaları için kandıran BT destek personelinin kimliğine bürünür. İlk iletişimi kurmak için Microsoft Teams kullanılırken, hesap etki alanları olarak Azure/Entra kiracı alt etki alanları ve özel etki alanları kullanılır.

Potansiyel hedefler kandırılarak QuickAssist, AnyDesk, TeamViewer, Level veya ScreenConnect gibi uzaktan yönetim araçlarının kurulması/çalıştırılması sağlanır. Tehdit aktörleri ayrıca OpenSSH istemcisini bir ters kabuk oluşturmak veya kullanıcıyla bir QR kodunu paylaşmak için de kullanıyor; bu da muhtemelen kimlik bilgilerini çaldıktan sonra MFA’yı (çok faktörlü kimlik doğrulama) atlamak için.

Saldırganlar, erişim elde ettikleri anda kimlik bilgileri toplamak, yanal hareket etmek ve veri sızdırmak için bir dizi kötü amaçlı araç kullanırlar. Özel bir paketleyici, hassas bilgileri çalmak ve sistemde kalıcılık sağlamak amacıyla Zbot ve DarkGate dahil olmak üzere çeşitli yükleri gizlemek için kullanılır. Ancak nihai hedef, Black Basta fidye yazılımını dağıtmak, kritik verileri şifrelemek ve fidye ödemesi talep etmektir.

Black Basta Fidye Yazılımı, Kötü Amaçlı Yazılım Yaymak için MS Teams ve E-posta Bombalama Kullanıyor
Saldırıların kullandığı kötü amaçlı QR kodlarından biri (Via Rapid7)

Bilginiz olsun diye söylüyorum: DarkGate, bilgi çalmak, kalıcılık oluşturmak ve bir arka kapı kurarak güvenliği ihlal edilmiş makinelere yeniden virüs bulaştırmak dahil olmak üzere çok çeşitli kötü amaçlı eylemler gerçekleştirebilen güçlü, kötü amaçlı bir kabuk kodudur.

Zloader/Zbot ise tam tersine, oturum açma kimlik bilgilerini, kredi kartı bilgilerini ve kişisel verileri çalan, ek kötü amaçlı yazılım yükleri indirip çalıştıran, virüslü sistemde kalıcılık sağlayan ve komuta ve kontrol sunucularıyla iletişim kuran karmaşık bir truva atıdır.

Rapid7’nin daha önce tespit edilen saldırılarıyla karşılaştırıldığında araştırmacılar, bu kampanyadaki bazı benzerliklere ve bazı benzersiz yaklaşımlara dikkat çekti:

“Rapid7, daha önce AntiSpam.exe olarak bildirilen aynı kimlik bilgisi toplama yürütülebilir dosyasının kullanımını gözlemledi; ancak bu dosya artık bir DLL biçiminde sunuluyor ve çoğunlukla rundll32.exe aracılığıyla yürütülüyor. Daha önce karmaşık olmayan bir .NET yürütülebilir dosyası iken, program artık genellikle derlenmiş bir 64 bit DLL yükleyicide yer alıyor,” blog gönderisinde ortaya çıktı.

Bu tür saldırı riskini azaltmak için kuruluşların, daha güçlü parola koruma mekanizmaları uygulamak, çalışanlara yönelik düzenli güvenlik farkındalığı eğitimleri ve gelişmiş güvenlik çözümleri de dahil olmak üzere güvenlik önlemlerini geliştirmesi gerekiyor.

  1. Telekom GianT BT Grubu Black Basta Fidye Yazılımının Saldırısına Uğradı
  2. Rus Gece Yarısı Blizzard’ı Hassas Saldırıda MS Teams’i Vurdu
  3. İranlı Hackerlar MFA Bombalamasıyla Microsoft 365’i Hedefliyor
  4. Storm-0324, Fidye Yazılımı Saldırıları için MS Teams Sohbetlerinden Yararlanıyor
  5. Vietnam DarkGate Kötü Amaçlı Yazılımı Dünya Çapındaki META Hesaplarını Hedefliyor





Source link