Ünlü fidye yazılımı grubu Black Basta’nın, karmaşık bir sosyal mühendislik kampanyasının parçası olarak Microsoft Teams’ten yararlandığı gözlemlendi.
E-posta bombardımanını BT destek personelinin kimliğine bürünmeyle birleştiren bu yeni taktik, siber güvenlik camiasında alarmlara yol açtı.
Saldırı, hedefin gelen kutusuna bir spam e-posta seli ile başlar ve bu e-postalar, onları haber bülteni abonelikleri ve hesap onayları gibi görünüşte zararsız mesajlarla doldurur. Bu e-posta yağmuru, ardından gelen gerçek tehdit için bir sis perdesi görevi görüyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Kurbanın gelen kutusu dolduğunda, saldırganlar Microsoft Teams aracılığıyla iletişim kuruyor ve ani e-posta akışı konusunda yardım sunan BT destek personeli kılığına giriyor.
Tehdit aktörleri, aşağıdakiler gibi BT destek hizmetlerini taklit eden etki alanlarını kullanarak meşru Microsoft Teams hesapları oluşturur:
- güvenlikadminhelper.onmicrosoft[.]iletişim
- destek hizmetiadmin.onmicrosoft[.]iletişim
- supportadministrator.onmicrosoft[.]iletişim
- siber güvenlikadmin.onmicrosoft[.]iletişim
Dikkatlice hazırlanmış bu kişiler, saldırganların iddialarına inanılırlık kazandırarak kurbanların onlara güvenme ve onlarla etkileşim kurma olasılığını artırır.
Black Basta ajanları, hedeflerini manipüle etmek için gelişmiş sosyal mühendislik teknikleri kullanıyor. NVISO Labs’ın raporuna göre bunlar, e-posta bombalama sorunuyla ilgili bir aciliyet duygusu yaratıyor ve görünüşte yararlı bir çözüm sunuyor.
Saldırganlar daha sonra kurbanı, genellikle AnyDesk, TeamViewer veya Microsoft’un Hızlı Yardımı gibi meşru uzak masaüstü araçları aracılığıyla sistemlerine uzaktan erişim sağlamaya ikna eder.
Uzaktan erişim sağlandıktan sonra saldırının gerçek doğası ortaya çıkar. Siber suçlular, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yükleri dağıtır:
- SistemBC: Spam önleme yazılımı olarak gizlenen bir proxy kötü amaçlı yazılım
- Kobalt Saldırısı işaretleri: Yanal hareket ve komut yürütme için kullanılır
- Zbot ve DarkGate: Kimlik bilgisi toplama ve veri sızdırma araçları
Sonuçta bu eylemler, Black Basta fidye yazılımının yayılmasına, kurbanın dosyalarının şifrelenmesine ve bunların serbest bırakılması için fidye talep edilmesine yol açıyor.
Kuruluşlar bu saldırıları tespit etmek ve önlemek için çeşitli önlemler uygulayabilir:
- Spam, kimlik avı veya kötü amaçlı yazılım olarak sınıflandırılmasına bakılmaksızın kullanıcı başına gelen e-postalardaki ani artışları izleyin.
- Microsoft Teams görünen adlarında “Yardım Masası” veya “Destek” gibi şüpheli anahtar sözcükleri arayın.
- Ortamda olağandışı Uzaktan İzleme ve Yönetim (RMM) aracı kullanımını araştırın.
- Microsoft Teams’de dış iletişim için katı ilkeler uygulayın.
- Çalışanlarınızı, özellikle Microsoft Teams gibi güvenilir platformlardan yararlanan sosyal mühendislik girişimlerini tanıma konusunda eğitin.
Black Basta’nın bu kampanyası, siber suçluların işbirliği araçlarını kötü amaçlarla istismar ettiği daha büyük bir eğilimin parçası.
Günlük operasyonlar için Microsoft Teams gibi platformlara güvenen kuruluşların sayısı arttıkça, bu araçlar tehdit aktörleri için giderek daha çekici hedefler haline geliyor. Bu saldırının karmaşıklığı, siber tehditlerin gelişen doğasının altını çiziyor.
Black Basta, e-posta bombardımanını, sosyal mühendisliği ve meşru işbirliği araçlarının kötüye kullanımını birleştirerek, modern siber güvenlik çabalarının karmaşık zorluklarını ortaya koyuyor.
Bu tehdit gelişmeye devam ettikçe kuruluşların güvenlik stratejilerinde dikkatli ve uyumlu olmaları gerekiyor.
Düzenli güvenlik farkındalığı eğitimi, güçlü e-posta filtreleme ve işbirliği platformlarının dikkatli bir şekilde izlenmesi, bu gelişmiş sosyal mühendislik taktiklerine karşı kapsamlı bir savunmanın temel bileşenleridir.
Bu nedenle, teknolojik çözümleri insan farkındalığıyla birleştiren çok katmanlı güvenlik yaklaşımı, bu karmaşık siber tehditlere karşı en iyi savunma olmaya devam ediyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri