BlackBasta fidye yazılımı operasyonu, sosyal mühendislik saldırılarını Microsoft Teams’e taşıdı ve devam eden bir spam saldırısında onlara yardımcı olmak için çalışanlarla iletişim kuran kurumsal yardım masaları gibi göründü.
Black Basta, Nisan 2022’den bu yana aktif olan ve dünya çapında şirketlere yönelik yüzlerce saldırının sorumlusu olan bir fidye yazılımı operasyonudur.
Conti siber suç örgütü, bir dizi utanç verici veri ihlalinin ardından Haziran 2022’de kapatıldıktan sonra operasyon birden fazla gruba bölündü ve bu gruplardan birinin Black Basta olduğuna inanılıyor.
Black Basta üyeleri, güvenlik açıkları, kötü amaçlı yazılım botnet’leriyle ortaklık kurma ve sosyal mühendislik gibi çeşitli yöntemlerle ağları ihlal ediyor.
Mayıs ayında Rapid7 ve ReliaQuest, hedeflenen çalışanların gelen kutularını binlerce e-postayla dolduran yeni bir Black Basta sosyal mühendislik kampanyası hakkında tavsiyeler yayınladı. Çoğunlukla haber bültenleri, kayıt onayları ve e-posta doğrulamalarından oluşan bu e-postalar, doğası gereği kötü amaçlı değildi, ancak kullanıcının gelen kutusunu hızla doldurdular.
Tehdit aktörleri daha sonra bunalmış çalışanı arayacak ve spam sorunlarında kendilerine yardımcı olmak için şirketlerinin BT yardım masası gibi davranacaklardı.
Bu sesli sosyal mühendislik saldırısı sırasında saldırganlar, kişiyi AnyDesk uzaktan destek aracını yüklemesi veya Windows Hızlı Yardım uzaktan kumanda ve ekran paylaşım aracını başlatarak Windows cihazlarına uzaktan erişim sağlaması için kandırır.
Saldırganlar buradan, kullanıcının kurumsal cihazına sürekli uzaktan erişim sağlayan ScreenConnect, NetSupport Manager ve Cobalt Strike gibi çeşitli yükleri yükleyen bir komut dosyası çalıştıracak.
Artık Black Basta üyesi kurumsal ağa erişim sağladığına göre, ayrıcalıkları yükselterek, verileri çalarak ve en sonunda fidye yazılımı şifreleyicisini dağıtarak yanal olarak diğer cihazlara yayılacaklar.
Microsoft Teams’e geçiş
ReliaQuest tarafından hazırlanan yeni bir raporda araştırmacılar, Black Basta üyelerinin Ekim ayında artık Microsoft Teams’i kullanarak taktiklerini geliştirdiklerini gözlemledi.
Önceki saldırıda olduğu gibi, tehdit aktörleri öncelikle çalışanın gelen kutusunu e-postayla dolduruyor.
Ancak saldırganlar artık çalışanları aramak yerine Microsoft Teams aracılığıyla harici kullanıcılar olarak çalışanlarla iletişim kuruyor ve kurumsal BT yardım masası kimliğine bürünerek spam sorunlarında onlara yardımcı olmak için çalışanla iletişim kuruyorlar.
Hesaplar, yardım masası gibi görünen Entra ID kiracıları altında oluşturulur:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
Yeni ReliaQuest raporu şöyle açıklıyor: “Bu harici kullanıcılar, profillerini, hedeflenen kullanıcının bir yardım masası hesabıyla iletişim kurduğunu düşünmesini sağlamak için tasarlanmış bir “Görünen Ad” olarak ayarlıyor.”
“Gözlemlediğimiz hemen hemen tüm örneklerde görünen ad, çoğunlukla boşluk karakterleriyle çevrelenen ve muhtemelen adı sohbet içinde ortalayacak şekilde “Yardım Masası” dizesini içeriyordu. Ayrıca, genellikle hedeflenen kullanıcıların “OneOnOne” sohbeti.”
ReliaQuest, tehdit aktörlerinin sohbetlerde QR kodları gönderdiğini ve bunun da qr-s1 gibi alan adlarına yönlendirdiğini gördüklerini söylüyor.[.]com. Ancak bu QR kodların ne için kullanıldığını tespit edemediler.
Araştırmacılar, harici Microsoft Teams kullanıcılarının Rusya kökenli olduğunu ve saat dilimi verilerinin düzenli olarak Moskova’dan geldiğini söylüyor.
Amaç, hedefi bir kez daha kandırarak AnyDesk’i kurmasını veya Hızlı Yardım’ı başlatmasını sağlamaktır, böylece tehdit aktörleri cihazlarına uzaktan erişim sağlayabilir.
Bağlandıktan sonra tehdit aktörlerinin “AntispamAccount.exe”, “AntispamUpdate.exe” ve “AntispamConnectUS.exe” adlı verileri yükledikleri görüldü.
Diğer araştırmacılar VirusTotal’daki AntispamConnectUS.exe dosyasını, Black Basta’nın geçmişte kullandığı bir proxy kötü amaçlı yazılım olan SystemBC olarak işaretledi.
Sonuçta, Cobalt Strike kurulur ve güvenliği ihlal edilen cihaza, ağda daha da ilerlemek için bir sıçrama tahtası görevi görecek tam erişim sağlanır.
ReliaQuest, kuruluşların Microsoft Teams’deki harici kullanıcılarla iletişimi kısıtlamasını ve gerekirse yalnızca güvenilir alanlardan iletişim kurulmasına izin vermesini öneriyor. Şüpheli sohbetleri bulmak için özellikle ChatCreated olayı için günlüğe kaydetmenin de etkinleştirilmesi gerekir.