Dalış Özeti:
- Microsoft araştırmacıları, finansal motivasyona sahip bir bilgisayar korsanının, şirketin Quick Assist müşteri yönetimi aracını Nisan ayının ortasından bu yana sosyal mühendislik saldırılarında kötüye kullandığı ve sonuçta Black Basta fidye yazılımının yayılmasına yol açtığı konusunda uyarıyor. Çarşamba günü yayınlanan blog yazısı. Hızlı Yardım sayesinde kullanıcılar Windows veya macOS’u başka bir kişiye uzaktan bağlayabilir.
- Microsoft’a göre saldırılar, vishing olarak da bilinen sesli kimlik avı yöntemini kullanmaya başladı ve ScreenConnect veya NetSupport Manager gibi uzaktan izleme araçlarının kötü niyetli kullanımına yol açtı. Bilgisayar korsanları, Black Basta fidye yazılımını başlatmadan önce Cobalt Strike veya Qakbot gibi kötü amaçlı yazılımları da dağıttı.
- Açıklama, FBI ile Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın Black Basta fidye yazılımının yüzlerce saldırıda kullanıldığı konusunda uyarmasından bir haftadan kısa bir süre sonra geldi. kritik altyapı ve sağlık hizmetleri Dünya çapında.
Dalış Bilgisi:
Tehdit grupları, kullanıcıları bilgisayar sistemlerine erişim izni vermeleri için kandırmak amacıyla vishing’i bir sosyal mühendislik tekniği olarak kullanıyor. Bazı durumlarda bilgisayar korsanları BT veya yardım masası personelinin kimliğine bürünürken diğer durumlarda bir tehdit aktörü, bir e-posta adresini spam ile doldurmak için e-posta bombalama saldırısı kullanır. Bilgisayar korsanı daha sonra sorunu çözme bahanesiyle o kullanıcının sistemine erişim ister..
Bilgisayar korsanlarına sisteme erişim izni verildikten sonra, cihaza erişmek için Hızlı Yardım’ı kullanıyorlar ve ardından uzaktan yönetim araçları veya kötü amaçlı yazılımlar da dahil olmak üzere kötü amaçlı yükler sağlamak için ZIP veya toplu dosyaları indiriyorlar.
Uzaktan erişim araçları, saldırıların önde gelen noktasıydı fidye yazılımı At-Bay’deki araştırmacılara göre saldırılar 2023’te gerçekleşecek.
Bloga göre, ConnectWise’ın uzaktan erişim ve destek aracı olan ScreenConnect, bir tehdit aktörünün kalıcılık kazanmasına ve yanal hareket etmesine olanak tanırken, NetSupport Manager güvenliği ihlal edilmiş sistemler üzerinde kontrolü koruyabilir.
Trend Micro araştırmacıları daha önce Black Basta bağlı kuruluşlarının ScreenConnect’teki, kimlik doğrulamayı atlama güvenlik açığı da dahil olmak üzere kritik kusurlardan yararlandığını gözlemlemişti. CVE-2024-1709Kobalt Saldırısını konuşlandırmadan önce.
Robert Knapp, kıdemli yönetici, Rapid7 olay müdahale hizmetleridedi Microsoft raporunun notları neye benzer aktiviteRapid7 araştırmacıları şunu gözlemledi: ancak bir adım daha ileri giderek etkinliği belirli bir tehdit aktörüne bağlar. Ancak Rapid7, bu spesifik durumlarda Qakbot’un konuşlandırıldığını görmedi.
Microsoft’a göre Black Basta üyeleri, fidye yazılımını dağıtmadan önce erişim sağlamak için sıklıkla Qakbot’u kullanıyor.
J’ye göre Black Basta, kurumsal sunucularda çalışan VMware ESXi’deki güvenlik açıklarından da yararlandı.Halcyon’un kurucu ortağı ve CEO’su Miller hakkında.