“Black Basta” olarak bilinen kötü şöhretli fidye yazılımı grubu, kuruluşların hassas sistemlerine ve verilerine yetkisiz erişim sağlamak için sosyal mühendislik taktiklerini artırdı.
Önde gelen bir siber güvenlik firması olan ReliaQuest, yakın zamanda ilk erişimi kolaylaştırmak için Microsoft Teams sohbet mesajlarının ve kötü amaçlı QR kodlarının kullanımını içeren karmaşık bir kampanyayı ortaya çıkardı.
Daha önce kullanıcıları e-posta spam’leriyle boğmasıyla ve meşru yardım masası personeli gibi davranmasıyla tanınan Black Basta, artık tekniklerini geliştirdi.
Son olaylarda saldırganlar, hedeflenen kullanıcılarla iletişim kurmak için Microsoft Teams sohbet mesajlarını kullanıyor ve bu mesajları sahte Entra ID kiracılarından çalışan harici kullanıcılarla yapılan sohbetlere ekliyor.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
Destek, yönetici veya yardım masası personeli gibi görünen bu harici kullanıcılar, hedeflenen kullanıcıları gerçek yardım masası hesaplarıyla iletişim kurduklarına inandırmak için tasarlanmış görünen adlar kullanır.
ReliaQuest’in araştırması, saldırganların eylemlerinin genellikle Rusya’dan kaynaklandığını ve Teams tarafından düzenli olarak Moskova’nın yer aldığı saat dilimi verilerinin kaydedildiğini ortaya çıkardı.
Black Basta, Microsoft Teams kullanımına ek olarak kimlik avı cephaneliğine QR kodlarını da ekledi. Hedeflenen kullanıcılar, bu sohbetler içinde, meşru markalı şirket QR kodu görüntüleri olarak gizlenen QR kodları alır.
Bu QR kodu kimlik avı etkinliği için kullanılan alanlar, belirli bir adlandırma kuralını izleyen alt alan adlarıyla, hedeflenen kuruluşla eşleşecek şekilde uyarlanmıştır.
Bu QR kodlarının kesin amacı belirsizliğini korusa da, bunların kullanıcıları daha fazla kötü amaçlı altyapıya yönlendirdiğinden, takip eden sosyal mühendislik tekniklerine ve RMM araçlarının uzaktan izlenmesi ve yönetimine zemin hazırladığından şüpheleniliyor.
Black Basta kampanyası, farklı sektör ve coğrafyalardaki kuruluşlar için önemli bir tehdit oluşturuyor.
ReliaQuest, grubun faaliyetlerinde endişe verici bir yoğunluk gözlemledi; yaklaşık 1000 e-postanın yer aldığı bir olayda, yalnızca 50 dakika içinde tek bir kullanıcı bombardımana tutuldu.
RMM araçları aracılığıyla indirilen kötü amaçlı dosyaların başarılı bir şekilde yürütülmesi, Cobalt Strike işaretlerinin verilmesine ve güvenliği ihlal edilmiş ağlarda yanal hareket için Impacket modüllerinin kullanılmasına yol açmıştır.
Bu saldırıların nihai hedefi neredeyse kesinlikle fidye yazılımının yayılmasıdır.
Önerilen Azaltmalar
ReliaQuest, gelişen bu tehditle mücadele etmek için çeşitli önlemler önermektedir:
- Tanımlanan kötü amaçlı etki alanlarını ve alt etki alanlarını engelleme
- Microsoft Teams içindeki harici kullanıcılarla iletişimi devre dışı bırakma veya belirli güvenilir alanlara izin verme
- E-posta güvenlik araçları içinde agresif anti-spam politikaları oluşturma
- Tespit ve araştırmayı kolaylaştırmak için Microsoft Teams’in, özellikle de ChatCreated olayının günlüğe kaydedilmesini etkinleştirme
Ayrıca kuruluşlar, sürekli eğitim ve farkındalık programları sunarak çalışanların mevcut sosyal mühendislik taktiklerine karşı uyanık kalmasını sağlamalıdır.
Bu dikkat, güvenlik duvarları, izinsiz giriş tespit sistemleri ve düzenli güvenlik denetimleri gibi çok sayıda güvenlik önlemi katmanını birleştiren sağlam bir derinlemesine savunma stratejisiyle eşleştirilmelidir.
Black Basta taktiklerini uyarlamaya devam ederken kuruluşların siber güvenlik çabalarında proaktif kalması gerekiyor. Kuruluşlar, en son tehditler hakkında bilgi sahibi olarak, kapsamlı güvenlik protokolleri uygulayarak ve siber güvenlik farkındalığı kültürünü geliştirerek, bu karmaşık fidye yazılımı saldırılarının kurbanı olma riskini önemli ölçüde azaltabilir.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here