Bilgisayar korsanları, insan psikolojisini ve davranışını manipüle ederek teknik güvenlik sistemlerini engelleyen sosyal mühendisliği istismar ediyor.
E-postaları kandırmak veya telefon görüşmelerine bahane uydurmak gibi sosyal mühendislik teknikleri, mağdurları gizli bilgileri sağlamaya veya güvenlik ayrıntılarını engelleyen eylemler gerçekleştirmeye yönlendirir.
Saldırganlar, hedeflerini kandırmak amacıyla güveni, merakı veya korkuyu pahalıya kullanmak için daha az uzmanlık bilgisine ihtiyaç duyduklarından bunu ucuz ve kolay buluyorlar.
Rapid7’deki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin Black Basta fidye yazılımı sağlayan yeni bir sosyal mühendislik saldırısından aktif olarak yararlandığını tespit etti.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Teknik Analiz
Rapid7, birçok MDR müşterisini hedef alan çok sayıda sosyal mühendislik kampanyasını ortaya çıkardı.
Burada spam e-postalar, kurbanların gelen kutularına akın ederek BT desteği gibi davranan biri onları aradığında AnyDesk veya Quick Assist gibi araçlar aracılığıyla uzaktan erişimi kabul etmelerini sağlıyor.
Saldırgan, bağlandıktan sonra kimlik bilgilerini toplamak ve kalıcılığı korumak için veriler indirir; bu da daha önceki Black Basta operasyonlarında olduğu gibi sonuçta fidye yazılımı virüsleriyle sonuçlanabilir.
Bu, Nisan 2024’ün sonlarına doğru ortaya çıkan yeni bir yaklaşımdır.
Saldırı, etkilenen kullanıcılara, e-posta korumalarını atlayan, görünüşte zararsız bülten kaydı onayı spam e-postaları dalgasıyla saldırarak başlıyor.
%20(2).webp)
Daha sonra saldırgan, doğrudan etkilenen kişileri telefonla arar ve bu e-posta sorununu çözmek için BT desteği gibi davranırlar.
Korsan, sosyal mühendisliği kullanarak kullanıcıları AnyDesk veya Windows Hızlı Yardım aracılığıyla uzaktan erişime izin vermeye ikna ediyor.
Bir kullanıcı başarılı olmazsa saldırgan hemen spam kampanyaları aracılığıyla hedeflenen bir sonrakine geçer.
Erişim elde edildikten sonra, casus, güncellemelere benzeyen toplu komut dosyalarını çalıştırarak bunların gerçek görünmesini sağlar. İlk komut dosyası C2 bağlantısını test eder ve aşağıdakiler için bir OpenSSH indirir: –
- Windows zip dosyası (RuntimeBroker.exe olarak yeniden adlandırıldı)
- RSA anahtarları
- Bağımlılıklar
- SSH yapılandırma dosyaları
Ekstra toplu iş dosyalarına işaret eden kayıt defteri çalıştırma anahtarları kalıcılığı sağlar. Bu komut dosyaları, indirilen anahtarları kullanarak SSH’nin C2’ye ters kabuk bağlantılarını denemesi üzerinden döngü yapar.
Bu komut dosyalarının bazıları sabit C2 kodlamasına sahipken diğerleri komut satırı işlevleri aracılığıyla geçersiz kılınabilir. Diğer sürümler ayrıca NetSupport veya ScreenConnect işlevleri aracılığıyla kalıcı olmayı başarır.
Tüm durumlarda saldırgan, kurbanların kimlik bilgilerini PowerShell aracılığıyla toplamak için “güncelleme” gibi görünen bir toplu komut dosyası kullandı ve bunların çoğu SCP aracılığıyla anında sızdırıldı.
Yanal olarak hareket etmeyi amaçlayan, başlangıçta tehlikeye atıldıktan sonra, DLL yandan yüklemesinden oluşan Cobalt Strike işaretlerini yerleştirme girişimleri oldu.
Hiçbir veri hırsızlığı veya fidye yazılımı kullanılmamasına rağmen göstergeler, istihbarata dayalı olarak önceki Black Basta operasyonlarıyla eşleşiyor.
Azaltmalar
Aşağıda, sağlanan tüm azaltımlardan bahsettik: –
- Onaylanmamış tüm RMM araçlarını engellediğinizden emin olun.
- Onaylanmamış RMM araçlarıyla ilişkili tüm etki alanlarını engelleyin.
- Kullanıcılara ayrıca sosyal mühendislik eğitimi de verilmelidir.
- Sağlam uygulama izin verilenler listesinin etkinleştirildiğinden emin olun.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free