Son derece başarılı Siyah Basta Fidye yazılımı grubu, geçen yıl Qakbot botnetinin devre dışı bırakılmasının ardından stratejide değişiklik yaparak yeni özel araçlar ve ilk erişim teknikleri kullanmaya başladı.
1000’den fazla yıldan fazla bir süredir varlığını sürdüren grubun evrimi 500 kurban Uzmanlar, kolluk kuvvetleri ve diğer aksaklıklar nedeniyle anında taktik değiştirmek zorunda kalan tehdit gruplarının, yine de bir şekilde siber suç operasyonlarında gelişmeye devam ettiğini ve bu sayının arttığını söyledi.
Black Basta’nın şöhretinin başlangıcı, Qakbot’un verimli kullanımıkarmaşık ve gelişen kimlik avı kampanyaları aracılığıyla dağıttı. İlk erişim Truva Atı olarak Qakbot, daha sonra bir dizi genel kullanıma açık açık kaynak aracı ve nihayetinde çetenin adını taşıyan fidye yazılımını dağıtabilirdi. Ancak, yaklaşık bir yıl önce, Qakbot botnet’i büyük ölçüde devre dışı bırakıldı (ancak daha sonra tekrar ortaya çıktı) Ördek Avı OperasyonuBu durum, grubun mağdurların altyapısına erişmek için yeni yollar bulmasını zorunlu kılıyor.
Başlangıçta Black Basta kimlik avı kullanmaya devam etti ve hatta vishing Darkgate ve benzeri diğer kötü amaçlı yazılım türlerini dağıtmak için PikabotAncak Mandiant’tan araştırmacılar, daha fazla kötü niyetli faaliyet yürütmek için hızla alternatifler aramaya başladıklarını açıkladı bir blog yazısında Bu hafta.
Mandiant’ın UNC4393 olarak takip ettiği grup, artık “kolayca erişilebilen araçlardan özel kötü amaçlı yazılım geliştirmeye ve ayrıca [an] Mandiant araştırmacıları, son saldırılarda “erişim aracılarına olan bağımlılığın artması ve ilk erişim tekniklerinin çeşitlenmesi” nedeniyle saldırıların arttığını yazdı.
‘SilentNight’ Yeniden Canlanıyor
İlk erişim için yeni yöntemlerden biri, grubun sırasıyla 2019 ve 2021’de kullandığı ve geçen yıla kadar rafa kaldırdığı SilentNight adlı bir arka kapının dağıtımını içeriyor. Araştırmacılar, grubun bu yılın başlarında bunu kötü amaçlı reklamcılık çabalarında tekrar kullanmaya başladığını ve “önemli bir şekilde e-dolandırıcılık“Daha önce bilinen tek ilk erişim yolu” olan “Arama Motoru Optimizasyonu”nu yazdılar.
SilentNight, HTTP/HTTPS üzerinden iletişim kuran ve komut ve kontrol (C2) için bir alan oluşturma algoritması kullanabilen bir C/C++ arka kapısıdır. Araştırmacılar, eklentilerin “sistem kontrolü, ekran görüntüsü yakalama, tuş kaydı, dosya yönetimi ve kripto para cüzdanı erişimi dahil olmak üzere çok yönlü işlevsellik” sağlamasına olanak tanıyan modüler bir çerçeveye sahiptir diye yazdı. Ayrıca tarayıcı manipülasyonu yoluyla kimlik bilgilerini hedef alır.
Araştırmacılar, Black Basta’nın hedef ortamlara erişim sağladığında, fidye yazılımını devreye sokmadan önce kalıcılık ve yatay hareket için LotL (yaşayan topraklardan yararlanma) tekniklerinin bir kombinasyonunu ve çeşitli özel kötü amaçlı yazılımları kullandığını buldu.
Araştırmacılar, “UNC4393’ün amacı, mümkün olduğunca çabuk bir şekilde mümkün olduğunca fazla veri toplamak ve toplanan verileri çok yönlü bir gasp için sızdırmak, veri sızıntısı tehdidini kullanarak kurbanları fidye talepleri ödemeye zorlamaktır” dedi.
Saldırıları Optimize Etmek İçin Özel Araçlar
İlk erişim sağlandıktan sonra dağıtılan ilk yeni araçlardan biri, grubun daha önce kullandığı Bloodhound, Adfind ve PSNmap gibi açık kaynaklı araçların yerini almış gibi görünen Cogscan adlı araç oldu. Bu araç, kurban ağlarını haritalandırmaya ve yatay hareket veya ayrıcalık yükseltme fırsatlarını belirlemeye yardımcı oluyor.
Araştırmacılar, Cogscan’in bir ağdaki ana bilgisayarları saymak ve sistem bilgilerini toplamak için kullanılan bir .NET keşif aracı olduğunu ve Black Basta tarafından dahili olarak “GetOnlineComputers” olarak adlandırıldığını gözlemlediler.
Black Basta’nın fidye yazılımı dağıtımını hızlandırmasını sağlayan bir diğer önemli yeni araç, .NET tabanlı bir yardımcı program olan Knotrock’tur. Knotrock, yerel bir metin dosyasında belirtilen ağ paylaşımlarında sembolik bir bağlantı oluşturur; her sembolik bağlantıyı oluşturduktan sonra, Knotrock bir fidye yazılımı yürütülebilir dosyasını yürütür ve ona yeni oluşturulan sembolik bağlantının yolunu sağlar.
Mandiant araştırmacıları, “Sonuç olarak Knotrock iki amaca hizmet ediyor: Mevcut Basta şifreleyicisine ağ iletişimi yetenekleri sağlayarak yardımcı oluyor ve uygulanabilir ağ yollarını proaktif olarak haritalayarak operasyonları kolaylaştırıyor, böylece dağıtım süresini azaltıyor ve şifreleme sürecini hızlandırıyor” diye yazdı.
Kötü amaçlı yazılımın UNC4393’ün operasyonlarında bir evrimi temsil ettiği, “şifreleme sürecini hızlandırarak daha geniş çaplı saldırılara olanak sağlaması ve fidye alma süresini önemli ölçüde azaltması” nedeniyle yeteneklerini artırdığı belirtildi.
Araştırmacılar, son saldırılarda gözlemlenen diğer yeni araçlar arasında, komuta ve kontrol (C2) iletişimleri için Portyard adı verilen tünelleme teknolojisi ve belleğe gömülü bir kaynağı şifresini çözen DawnCry adı verilen yalnızca belleğe yüklenen bir dropper’ın da bulunduğunu söyledi.
Siyah Basta: Önemli Bir Tehdit Kalmaya Devam Ediyor
Bir güvenlik uzmanı, Black Basta’nın ilk erişim ve araçlarında yapılan değişikliklerin, grubun “dayanıklılığını” ortaya koyduğunu ve siber suçun en başarılı biçimlerinden biri olan kimlik avından uzaklaşsa bile “her ölçekteki kuruluşa” karşı bir tehdit olmaya devam edeceğini gösterdiğini belirtti.
“Bu çetenin başarısı göz önüne alındığında, savaş sandıklarında önemli miktarda fon bulundurduklarına şüphe yok; bu da onların kendi araçlarını geliştirmelerine ve yeteneklerini geliştirmelerine olanak sağlıyor. Güvenlik firması KnowBe4’te güvenlik farkındalığı savunucusu olan Erich Kron, “Saldırı yeteneği” diyor.
Mandiant araştırmacıları, Black Basta’nın yeni araç ve teknikleri kullanmada uyum sağlama ve yenilik yapma yeteneğinin, savunmacıların da proaktif olmaları ve güvenlik önlemlerini mevcut en son teknoloji ve tehdit istihbaratıyla güçlendirmeleri gerektiği anlamına geldiğini söyledi.
Kron, kuruluşlar için savunma önlemlerinin şunları içerdiğini öneriyor: “sosyal mühendisliğe karşı koymak için çalışanların eğitimi ve öğretimi; verilerin çalınmasını önlemek için güçlü veri kaybı önleme kontrolleri; iyi bir uç nokta tespiti ve yanıt “Enfekte bilgisayarlardaki dosyaları şifreleme girişimlerini tespit edip durdurabilen bir sistem; ve sistem şifrelemesi durumunda hızlı kurtarmaya olanak sağlayan değiştirilemez ve test edilmiş yedeklemeler.”