Black Basta fidye yazılımı bağlı kuruluşları, artık Microsoft Teams aracılığıyla yardım masası çalışanı gibi davranarak kurumsal çalışanları uzaktan erişim aracı yüklemeleri için kandırmaya çalışıyor.
MS Teams aracılığıyla kimlik avı
Bu yılın başlarında Rapid7, Black Basta’yı aşağıdaki sosyal mühendislik hilesini kullanarak uyardı: hedef çalışanın e-posta gelen kutusunu, genellikle onay veya bildirim gönderen otomatik sistemlerden veya hizmetlerden gelen spam ile doldururlar ve ardından, kendilerinin çalışanı gibi görünerek yardım teklif etmek için onları ararlar. kuruluşun BT yardım masası.
Ancak son zamanlarda potansiyel kurbanlara ulaşmak için Microsoft Teams’i de kullanmaya başladılar.
“Toplu e-posta spam olaylarından sonra, hedeflenen kullanıcılar Microsoft Teams’in harici kullanıcılarla yaptığı sohbetlere eklendi. ReliaQuest araştırmacıları, bu harici kullanıcıların, destek, yönetici veya yardım masası personeli gibi davranmak üzere oluşturdukları Entra ID kiracıları aracılığıyla çalıştırıldığını keşfetti.
Görülen alanlar şunları içerir:
- güvenlikadminhelper.onmicrosoft[.]iletişim
- destek hizmetiadmin.onmicrosoft[.]iletişim
- supportadministrator.onmicrosoft[.]iletişim
- siber güvenlikadmin.onmicrosoft[.]iletişim
“Gözlemlediğimiz hemen hemen tüm örneklerde görünen ad, çoğunlukla boşluk karakterleriyle çevrelenen ‘Yardım Masası’ dizesini içeriyordu ve bu, muhtemelen adı sohbet içinde ortalayacak. Araştırmacılar, ayrıca hedeflenen kullanıcıların genellikle ‘OneOnOne’ sohbetine eklendiğini de gözlemledik” dedi.
Nihai amaç, hedeflenen çalışanların görünüşte destek ve iyileştirmeyi kolaylaştırmak için QuickAssist veya AnyDesk gibi uzaktan izleme ve yönetim araçlarını kurmasını sağlamaktır, ancak gerçekte hedeflenen ortama ilk erişim elde etmek ve kimlik bilgilerini ele geçiren kötü amaçlı yazılım ve ağ haritalama araçlarını yüklemektir.
Hedefler aynı zamanda QR kodlu sayfaları barındıran alanlara da yönlendiriliyor ancak bunların ne işe yaradığı henüz bilinmiyor. Araştırmacılar, “Kodların kullanıcıları daha fazla kötü amaçlı altyapıya yönlendirmesi gerçekçi bir şekilde mümkün” diye ekledi.
Kuruluşlar için tavsiyeler
E-posta gelen kutularına spam göndermek, karanlık ağda sunulan e-posta spam hizmetleri aracılığıyla kolayca gerçekleştirilir. Kuruluşları Teams içindeki harici kiracılardan/alanlardan iletişimi devre dışı bırakmamış veya sınırlamamışsa, hedeflenen çalışanlara Microsoft Teams aracılığıyla ulaşmak kolaydır. (Teams aracılığıyla kötü amaçlı yazılım teslimi bile mümkündür.)
Araştırmacılar bu saldırıları “alan oluşturma ve Cobalt Strike konfigürasyonlarındaki benzerlikler” nedeniyle Black Basta’ya bağladılar. Ne yazık ki bu saldırı yolunu kullanan tek tehdit aktörü onlar değil.
ReliaQuest araştırmacıları kuruluşlara Teams içindeki harici kullanıcılarla iletişimi devre dışı bırakmalarını veya yalnızca belirli güvenilir alanlardan iletişime izin vermelerini tavsiye ediyor.
Ayrıca e-posta anti-spam politikalarını değiştirmeli, Teams için günlük kaydını etkin tutmalı (araştırmayı kolaylaştırmak için), belirli kimlik avı sohbet isteklerini ve istismar sonrası etkinlikleri işaretlemek için kurallar oluşturmalı ve çalışanlarını en son tehditler konusunda eğitmelidirler.
Rapid7 daha önce kuruluşlara onaylanmamış RMM çözümlerinin uygulanmasını engellemelerini ve çalışanların BT departmanlarıyla iletişim kurmak için kullanabilecekleri kanalları/yöntemleri oluşturup tanımlamalarını tavsiye etmişti.