Kötü şöhretli Black Basta fidye yazılımı grubu, saldırı stratejisini artırdı ve artık Microsoft Teams’i güçlü bir sosyal mühendislik aracı olarak kullanıyor.
Ekim 2024 boyunca gözlemlenen bu endişe verici gelişme; finans, teknoloji ve devlet yüklenicileri de dahil olmak üzere çeşitli sektörlerdeki yüzlerce kuruluşu hedef aldı.
Nisan 2022’den beri aktif olan Black Basta, agresif spam ve sosyal mühendislik teknikleriyle tanınıyor.
Ancak OP Innovate’teki siber güvenlik analistleri, işleyiş tarzında önemli bir değişime işaret eden en son yaklaşımlarını keşfetti:-
- E-posta Bombardımanı: Saldırı, kötü amaçlı olmayan spam e-posta seli ile başlar ve kullanıcıların gelen kutularını doldurur.
- Microsoft Teams Kimliğe Bürünme: Saldırganlar artık telefon görüşmeleri yerine kurbanlarla doğrudan Teams sohbetleri aracılığıyla iletişime geçiyor ve BT yardım masası personeli kılığına giriyor.
- Uzaktan Erişim Dağıtımı: Saldırganlar, kullanıcıları Quick Assist veya AnyDesk gibi uzaktan erişim araçlarını yüklemeleri için kandırır.
- Ağ Sızıntısı: Bağlandıktan sonra saldırganlar, kalıcı erişim ve yanal hareket için kötü amaçlı yazılım dağıtır.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Microsoft Teams Neden Savunmasız Bir Saldırı Vektörüdür?
Microsoft Teams’in kullanımı kuruluşlar için yeni riskler getirir: –
- Harici hesap sahteciliği: Saldırganlar, meşru BT hesaplarına benzeyen ikna edici Entra ID kiracıları oluşturur.
- Kimlik doğrulama eksikliği: Çalışanlar genellikle doğrulama olmadan Teams aracılığıyla alınan iletilere güvenir.
- Sınırsız uzaktan erişim: İşbirliği araçları, saldırganların kullanıcıları uzaktan izleme ve yönetim (RMM) araçlarını yüklemeye ikna etmesini kolaylaştırır.
.webp)
Microsoft Teams’e geçiş, Black Basta’nın geleneksel e-posta güvenlik araçlarını atlamasını sağlayarak çalışanların kandırılmasını kolaylaştırıyor.
Önde gelen bir tehdit araştırma firması olan ReliaQuest, sektörler genelinde 15 milyon doları aşan hasara yol açan yüzlerce olay bildirdi.
Gelişen bu tehditlere karşı savunma yapmak için kuruluşların şunları yapması gerekir: –
- Teams içindeki harici iletişimi devre dışı bırakın veya yalnızca güvenilir etki alanlarına izin verin.
- Teams ChatCreated etkinlikleri için günlüğe kaydetmeyi ve uyarıları etkinleştirin.
- Spam karşıtı politikaları güçlendirin ve çalışanları sosyal mühendislik taktikleri konusunda eğitin.
- RMM aracı kullanımını kontrol edin ve Cobalt Strike işaretlerini izleyin.
Black Basta, saldırı yöntemlerini geliştirmeye devam ederken kuruluşların dikkatli olması ve güvenlik önlemlerini buna göre uyarlaması gerekiyor.
Microsoft Teams gibi güvenilir platformların kullanılması, bir kuruluş içindeki tüm iletişim kanallarını kapsayan kapsamlı güvenlik stratejilerine olan ihtiyacın altını çiziyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın