Microsoft Tehdit İstihbaratı ekibi, bu isim altında takip ettiği bir tehdidi gözlemlediğini söyledi. Fırtına-1811 Sosyal mühendislik saldırılarında kullanıcıları hedeflemek için müşteri yönetimi aracı Hızlı Yardım’ın kötüye kullanılması.
Şirket, 15 Mayıs 2024’te yayınlanan bir raporda “Storm-1811, Black Basta fidye yazılımını dağıttığı bilinen, finansal motivasyona sahip bir siber suç grubudur” dedi.
Saldırı zinciri, şüpheli olmayan kurbanları uzaktan izleme ve yönetim (RMM) araçları yüklemeleri için kandırmak amacıyla sesli kimlik avı yoluyla kimliğe bürünme kullanımını ve ardından QakBot, Cobalt Strike ve son olarak Black Basta fidye yazılımının teslim edilmesini içeriyor.
Teknoloji devi, “Tehdit aktörleri, örneğin Microsoft teknik desteği gibi güvenilir bir kişi veya hedef kullanıcının şirketindeki bir BT uzmanı gibi davranarak, hedef cihaza ilk erişim elde etmek amacıyla sosyal mühendislik saldırıları gerçekleştirmek için Hızlı Yardım özelliklerini kötüye kullanıyor” dedi. .
Quick Assist, kullanıcıların Windows veya macOS cihazlarını, esas olarak sistemlerindeki teknik sorunları gidermek amacıyla uzaktan bağlantı üzerinden başka bir kişiyle paylaşmalarına olanak tanıyan, Microsoft’un meşru bir uygulamasıdır. Windows 11 çalıştıran cihazlarda varsayılan olarak yüklü olarak gelir.
Saldırıları daha ikna edici hale getirmek için tehdit aktörleri, hedeflenen e-posta adreslerinin çeşitli meşru e-posta abonelik hizmetlerine kaydolarak gelen kutularını abone olunan içerikle doldurduğu bir tür e-posta bombalama saldırısı olan bağlantı listeleme saldırıları başlatır.
Düşman daha sonra hedef kullanıcıyı telefonla arayarak şirketin BT destek ekibi kılığına giriyor, spam sorununun çözümünde yardım teklif ettiğini ve Hızlı Yardım yoluyla cihazlarına erişmesine izin verdiğini iddia ediyor.
Windows yapımcısı, “Kullanıcı erişim ve kontrole izin verdiğinde, tehdit aktörü, kötü amaçlı yükleri dağıtmak için kullanılan bir dizi toplu iş dosyasını veya ZIP dosyasını indirmek için komut dosyasıyla yazılmış bir cURL komutunu çalıştırır” dedi.
“Storm-1811 onların erişiminden yararlanıyor ve etki alanı numaralandırma ve yatay hareket gibi klavye üzerinde uygulamalı faaliyetler gerçekleştiriyor. Storm-1811 daha sonra Black Basta fidye yazılımını ağ genelinde dağıtmak için PsExec’i kullanıyor.”
Microsoft, bu saldırılarda Quick Assist’in kötüye kullanımını yakından incelediğini ve kullanıcıları fidye yazılımı dağıtımını kolaylaştırabilecek olası teknik destek dolandırıcılıkları konusunda bilgilendirmek için yazılıma uyarı mesajları eklemeye çalıştığını söyledi.
Rapid7, saldırıların fırsatçı doğasına işaret ederek, Nisan 2024’ün ortasında başladığına inanılan kampanyanın imalat, inşaat, yiyecek-içecek ve taşımacılık dahil olmak üzere çeşitli endüstrileri ve sektörleri hedef aldığını söyledi.
Olaylara müdahaleden sorumlu kıdemli yönetici Robert Knapp, “Bu saldırıları gerçekleştirirken giriş engelinin düşük olması ve bu saldırıların kurbanları üzerinde yarattığı önemli etkiler, fidye yazılımlarını maaş günü isteyen tehdit aktörleri için son derece etkili bir araç haline getirmeye devam ediyor” dedi. The Hacker News ile paylaşılan bir açıklamada, Rapid7’deki hizmetlerin
Microsoft ayrıca Black Basta’yı, fidye yazılımı ve gasp saldırıları yürüten çekirdek geliştiriciler, bağlı kuruluşlar ve ilk erişim aracılarından oluşan bir ağdan oluşan bir hizmet olarak fidye yazılımı (RaaS) işleminin aksine, “kapalı bir fidye yazılımı teklifi” olarak tanımladı.
Şirket, “ilk erişim, kötü amaçlı altyapı ve kötü amaçlı yazılım geliştirme için genellikle diğer tehdit aktörlerine güvenen az sayıda tehdit aktörü tarafından dağıtıldığını” söyledi.
“Black Basta’nın ilk kez Nisan 2022’de ortaya çıkmasından bu yana, Black Basta saldırganları, QakBot ve diğer kötü amaçlı yazılım dağıtıcılarından erişim aldıktan sonra fidye yazılımını dağıttı; bu da kuruluşların tehdidi azaltmak için fidye yazılımı dağıtımından önce saldırı aşamalarına odaklanması ihtiyacını vurguladı.”
Kuruluşların, Quick Assist ve benzeri uzaktan izleme ve yönetim araçlarını, kullanımda değillerse engellemeleri veya kaldırmaları ve teknik destek dolandırıcılıklarını tanımaları için çalışanları eğitmeleri önerilir.