Sosyal mühendislik teknikleri kullanan, finansal odaklı bir tehdit aktörü olan Storm-1811’in yakın zamanda Black Basta fidye yazılımını dağıtmak için RMM araçlarını kullandığı gözlemlendi.
Tehdit aktörü, ağ üzerinden nihai yük olarak Black Basta fidye yazılımını sunmak amacıyla istemci yönetim aracı Microsoft Quick Assist’ten yararlanıyor.
Quick Assist, kullanıcının başka bir kişiye uzaktan bağlanmasını ve Windows veya macOS cihazını paylaşmasını sağlayan bir uygulamadır.
Bu, bağlanan kullanıcının, alıcı kullanıcının cihazına uzaktan bağlanarak cihazın ekranını görüntülemesine, açıklamalar yapmasına veya genellikle sorun giderme amacıyla tam kontrolü ele almasına olanak tanır.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Storm-1811 Nasıl Çalışır?
Red Canary, yakın zamanda tespit edilen etkinliğin, kurbanın gelen kutusunu spam olan e-postalarla doldurmaya yönelik e-posta bombardımanıyla başladığını bildirdi.
Daha sonra, BT yöneticisi gibi davranan rakip, kullanıcıyı arayarak veya Microsoft Teams görüşmesine katılmaları için bir bağlantı göndererek e-posta sorununa yardımcı olmayı teklif ediyor.
Düşman, temas kurduktan sonra kullanıcıya AnyDesk veya TeamViewer’ı indirip başlatması veya uzaktan erişim izni vermek için Microsoft Hızlı Yardım’ı başlatması talimatını verdi. Yanal hareket, keşif ve SSH tüneli arka kapısının oluşturulması, saldırının bir parçasıydı.
Black Basta ilk olarak Nisan 2022’de keşfedildi ve hizmet olarak fidye yazılımı (RaaS) çeşidi olarak biliniyor. Black Basta’nın bağlı kuruluşlarının Avustralya, Avrupa ve Kuzey Amerika’daki önemli altyapı ve çeşitli endüstriler üzerinde etkisi oldu.
CISA’nın son tavsiyelerine göre, Mayıs 2024 itibarıyla dünya çapında 500’den fazla kuruluş Black Basta bağlı kuruluşlarından etkilendi.
Black Basta’nın bağlı kuruluşları, kimlik avı gibi tipik ilk erişim tekniklerini kullandıktan ve bilinen zayıflıklardan yararlandıktan sonra sistemleri şifreleyerek ve verileri dışarı sızdırarak çifte gasp stratejisi uyguluyor.
Azaltmalar
- Sistemler arasında algılama ve yanıt sensörlerini kurun.
- İzlenmeyen uç noktalar saldırganın oyun alanıdır; görünürlük düşmanın özgürlüğünü kısıtlar.
- İzin verilen araçları takip edin ve yetkisiz RMM araçlarını engelleyin veya kısıtlayın.
- Meşru araçlardan yararlanılabilir; bu nedenle ortamınıza dikkat edin.
- Microsoft Teams’in güvenliğini sağlamak için harici erişimi varsayılan olarak yasaklayın, güvenilir iş ortağı etki alanlarına izin verin ve yetkisiz araçları önlemek için dosya paylaşım yeteneklerini sınırlayın.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın