Black Basta fidye yazılımıyla bağlantılı tehdit aktörlerinin, Ekim 2024’ün başlarından bu yana sosyal mühendislik taktiklerini değiştirdikleri ve Zbot ve DarkGate gibi farklı yükleri dağıttıkları gözlemlendi.
Rapid7, “Hedef ortamdaki kullanıcılar, tehdit aktörü tarafından e-posta bombardımanına maruz kalacak ve bu genellikle kullanıcının e-postasının aynı anda çok sayıda posta listesine kaydedilmesiyle gerçekleştirilir.” dedi. “E-posta bombasının ardından tehdit aktörü etkilenen kullanıcılara ulaşacak.”
Ağustos ayında gözlemlendiği gibi saldırganlar, kuruluşun destek personeli veya BT personeli gibi davranarak Microsoft Teams’teki olası hedeflerle ilk teması kuruyor. Bazı durumlarda, hedeflenen kuruluştaki BT personelinin kimliğine büründükleri de gözlemlendi.
Tehdit aktörleriyle etkileşime giren kullanıcılardan AnyDesk, ScreenConnect, TeamViewer ve Microsoft’un Quick Assist’i gibi yasal uzaktan erişim yazılımlarını yüklemeleri isteniyor. Windows üreticisi, Storm-1811 adı altında Black Basta dağıtımı için Quick Assist’in kötüye kullanılmasının ardındaki siber suçlu grubunu takip ediyor.
Rapid7 ayrıca, fidye yazılımı ekibinin ters kabuk oluşturmak için OpenSSH istemcisinden yararlanmaya yönelik girişimlerin yanı sıra, güvenilir bir mobil cihaz ekleme bahanesi altında muhtemelen kimlik bilgilerini çalmak için kurban kullanıcıya sohbetler aracılığıyla kötü amaçlı bir QR kodu gönderme girişimlerini de tespit ettiğini söyledi. cihaz.
Ancak aynı kampanyayı rapor eden siber güvenlik şirketi ReliaQuest, QR kodlarının kullanıcıları daha fazla kötü amaçlı altyapıya yönlendirmek için kullanıldığını öne sürdü.
AnyDesk’in (veya eşdeğerinin) kurulumuyla kolaylaştırılan uzaktan erişim, daha sonra ele geçirilen ana bilgisayara, özel bir kimlik bilgisi toplama programı ve ardından Zbot (aka ZLoader) veya DarkGate’in yürütülmesi de dahil olmak üzere ek yükler sağlamak için kullanılır. takip eden saldırılar için ağ geçidi.
Rapid7 güvenlik araştırmacısı Tyler McGraw, “İlk erişimin ardından genel hedef aynı görünüyor: ortamı hızlı bir şekilde numaralandırmak ve kullanıcının kimlik bilgilerini boşaltmak.” dedi.
“Mümkün olduğunda, operatörler yine de mevcut tüm VPN yapılandırma dosyalarını çalmaya çalışacak. Kullanıcının kimlik bilgileri, kuruluş VPN bilgileri ve potansiyel MFA bypass’ı ile hedef ortamda doğrudan kimlik doğrulaması yapmak mümkün olabilir.”
Black Basta, Conti’nin 2022’de kapatılmasının ardından Conti’nin küllerinden özerk bir grup olarak ortaya çıktı; başlangıçta hedeflere sızmak için QakBot’tan yararlandı, ardından sosyal mühendislik tekniklerine yöneldi. UNC4393 olarak da anılan tehdit aktörü, o zamandan bu yana hedeflerini gerçekleştirmek için çeşitli özel kötü amaçlı yazılım ailelerini kullanmaya başladı:
- KNOTWRAP, C/C++ ile yazılmış, bellekte ek bir veri yükü çalıştırabilen, yalnızca bellek içeren bir damlalıktır
- Fidye yazılımını yürütmek için kullanılan .NET tabanlı bir yardımcı program olan KNOTROCK
- DAWNCRY, gömülü bir kaynağın şifresini sabit kodlanmış bir anahtarla belleğe çözen, yalnızca bellek içeren bir damlalıktır
- PORTYARD, TCP üzerinden özel bir ikili protokol kullanarak sabit kodlu bir komut ve kontrol (C2) sunucusuna bağlantı kuran bir tünel oluşturucudur.
- COGSCAN, ağda bulunan ana bilgisayarların bir listesini toplamak için kullanılan bir .NET keşif derlemesi
RedSense’ten Yelisey Bohuslavskiy, “Black Basta’nın kötü amaçlı yazılım yayma konusundaki evrimi, tamamen botnet’e dayalı bir yaklaşımdan sosyal mühendisliği bütünleştiren hibrit bir modele doğru tuhaf bir geçişi gösteriyor.” dedi.
Açıklama, Check Point’in Akira fidye yazılımının güncellenmiş bir Rust varyantına ilişkin analizini ayrıntılı bir şekilde açıkladığı sırada geldi ve kötü amaçlı yazılım yazarlarının üçüncü taraf kitaplıklarla ve gösterge, pas-kripto ve denizatı gibi kasalarla ilişkili hazır standart kodlara olan güvenini vurguladı.
Fidye yazılımı saldırılarında Mimic fidye yazılımının Elpaco adı verilen bir çeşidi de kullanıldı; Rhysida enfeksiyonları ayrıca veri sızdırma ve kalıcılığına yardımcı olmak için CleanUpLoader’ı da kullanıyor. Kötü amaçlı yazılım genellikle Microsoft Teams ve Google Chrome gibi popüler yazılımların yükleyicileri olarak gizlenir.
Recorded Future, “Rhysida, popüler yazılım indirme sitelerine benzeyen hatalı alan adları oluşturarak kullanıcıları virüslü dosyaları indirmeleri için kandırıyor” dedi. “Bu teknik, bu alanların arama motoru sonuçlarında daha üst sıralarda yer aldığı ve meşru indirme kaynakları olarak görünmelerine neden olan SEO zehirlenmesi ile birleştiğinde özellikle etkilidir.”