.webp "Black Basta Fidye Yazılımı Microsoft Teams'den Yararlanıyor")
Black Basta fidye yazılımı operatörleri, Zbot, DarkGate ve Özel Kötü Amaçlı Yazılımları dağıtmak için Microsoft Teams’ten yararlanarak taktiklerini geliştirdiler.
Devam eden sosyal mühendislik kampanyası, bir tehdit aktörünün bir kullanıcının gelen kutusunu önemsiz şeylerle doldurmasını ve yardım sunmak için kullanıcıyla iletişime geçmesini içeriyor.
Araştırmacılar, tehdit aktörlerinin hedefle ilk iletişimde birincil araç olarak Microsoft Teams’i kullandığını gözlemledi.
Kullanıcının çağrıya yanıt vererek veya bir mesaj göndererek cezbeden yanıt verdiğini varsayalım. Bu durumda tehdit aktörü, diğerlerinin yanı sıra QuickAssist, AnyDesk, TeamViewer, Level veya ScreenConnect gibi bir uzaktan yönetim (RMM) programını yüklemeye veya çalıştırmaya ikna etmeye çalışacaktır.
Uzak bir bağlantı kurduktan sonra tehdit aktörü, etkilenen kullanıcıların kimlik bilgilerini almak ve varlıklarını ısrarla hedeflemeye devam etmek için altyapılarından veri yükleri indirmeye devam ediyor.
“İlk erişimin ardından genel hedef aynı görünüyor: ortamı hızlı bir şekilde numaralandırmak ve kullanıcının kimlik bilgilerini boşaltmak. Rapid7, Cyber Security News ile paylaşılan bir raporda, operatörlerin mümkün olduğunca mevcut VPN yapılandırma dosyalarını çalmaya çalışacaklarını söyledi.
“Kullanıcının kimlik bilgileri, kuruluş VPN bilgileri ve olası MFA bypass’ı sayesinde, hedef ortamda doğrudan kimlik doğrulaması yapmak mümkün olabilir.”
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Tehdit Aktörlerinin Güncellenmiş Taktikleri ve Kötü Amaçlı Yazılım Yükleri
Araştırmacılar, operatörlerin Microsoft Teams’e özel görünen adları kullandığını fark etti. Görünen adları doldurmak için boşluk karakterleri kullanılabilir veya kullanılmayabilir.
Tehdit aktörleri, sohbet görünen adı ve/veya hesap girişi olarak adlarını ve soyadlarını kullanarak hedef şirketin BT çalışanı gibi davranırlar.
Tehdit aktörleri, ters kabuk oluşturmak için yerel bir Windows programı olan OpenSSH istemcisini kullanıyor.
Tehdit aktörü en az bir vakada hedeflenen kullanıcıya bir QR kodu sağladı. QR kodunun amacı bilinmese de, kullanıcının oturum açma bilgilerini çaldıktan sonra MFA’yı aşma girişimi gibi görünüyor.
Rapid7, daha önce AntiSpam.exe olarak bilinen aynı kimlik bilgisi toplama yürütülebilir dosyasının kullanıldığını gördü, ancak artık bir DLL biçiminde teslim ediliyor ve normalde rundll32 tarafından yürütülüyor.
Daha önce AntiSpam.exe olarak bildirilen aynı kimlik bilgisi toplama yürütülebilir dosyasının kullanıldığı gözlemlenmiştir, ancak artık bir DLL biçiminde teslim edilmektedir ve normalde rundll32 tarafından yürütülmektedir.
Daha önce uygulama, gizlenmemiş bir.NET yürütülebilir dosyasıydı; ancak artık sıklıkla derlenmiş bir 64 bit DLL yükleyicisine yerleştiriliyor.
Kimlik bilgisi toplayıcının en yeni sürümleri artık çıktıyı, eski qwertyuio.txt dosyasının yerine, kullanıcının %TEMP% dizinindeki 123.txt dosyasına kaydediyor.
Ancak kampanya sırasında dağıtılan DLL’nin önceki sürümleri yine de önceki dosyaya çıktı olarak veriliyordu.
Çoğu zaman, Zbot (Zloader olarak da bilinir) veya DarkGate gibi bir yükleyici, kimlik bilgisi toplayıcıdan sonra yürütülür.
Bu daha sonra veri hırsızlığına yardımcı olabilir, bellekteki gelecekteki yüklerin yürütülmesi için bir ağ geçidi işlevi görebilir veya diğer kötü amaçlı görevleri gerçekleştirebilir.
Terdot, DELoader veya Silent Night olarak da bilinen modüler truva atı Zloader, sızdırılan Zeus kaynak kodu kullanılarak oluşturuldu.
Zloader’ın en son sürümünün yükleyici modülü, RSA şifrelemesinin eklenmesi, etki alanı oluşturma işleminde bir güncelleme ve 64 bit Windows işletim sistemleri için ilk derleme dahil olmak üzere büyük değişikliklerle karşılaştı.
DarkGate, tuş günlüğü tutma, uzaktan kod yürütme, ayrıcalıkları artırma, tespit edilmekten kaçınma ve web tarayıcılarından ve Discord’dan veri çalma yeteneklerine sahip çok işlevli bir kötü amaçlı yazılım araç setidir.
PowerShell talimatlarını uzaktan yürütmek için operatörler ayrıca Cobalt Strike işaret yükleyicilerini ve özel bir çok iş parçacıklı işaret ve kullanıcı kimlik bilgisi toplayıcı varyasyonunu içeren iki Java yükünü içeren alternatif yük arşivlerini dağıtıyorlardı.
Bazı durumlarda operatörler, Teams’i kullanarak kullanıcıya kısa bir komut iletmiştir; bu komut, amaçlanan kullanıcı tarafından yürütüldüğünde bir enfeksiyon zinciri başlatacaktır.
Öneriler
- Harici kullanıcıların Microsoft Teams kullanan kullanıcılarla iletişim kurma becerisini mümkün olduğu kadar sınırlayın.
- Ortamın uzaktan yönetim araçlarını standartlaştırın.
- Kullanıcıları sosyal mühendislik kampanyasını nasıl anlayacakları konusunda eğitin.
- VPN erişimini standartlaştırın.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses