Yeni bir Black Basta kampanyası, spam e-posta saldırıları ve kötü amaçlı yazılım indirmeleri için onları kandıran sahte müşteri hizmetleri temsilcileriyle kurbanları rahatsız ediyor.
Haber bir olayın arka planında geliyor yeni ortak siber güvenlik danışmanlığı FBI, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sağlık ve İnsan Hizmetleri Departmanı (HHS) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nden (MS-ISAC), Black Basta’nın kritik altyapılara yönelik üretken saldırıları konusunda uyarıda bulunuyor. Hükümet, hizmet olarak fidye yazılımı (RaaS) operasyonunun, hassas ve yüksek değerli kuruluşlara ilk erişim sağlamak için genellikle hedef odaklı kimlik avı ve yazılım açıklarından yararlandığını söylüyor.
Ama şimdi en azından bir ucu Kara Basta operasyonu alıyor yeni yaklaşım. Rapid7 araştırmacıları, bu tür keskin ve hedefe yönelik ihlaller yerine kurbanlara yığınla spam e-posta gönderdiğini, ardından onları arayarak yardım teklif ettiğini gözlemledi. Mağdurlar yardımı kabul ettiğinde saldırı başlar.
Rapid7 olay müdahale hizmetleri kıdemli yöneticisi Robert Knapp, şu ana kadar bu kurbanların imalat, inşaat, yiyecek ve içecek ve taşımacılık gibi sektörleri kapsadığını söylüyor ve şunu ekliyor: “Etkilenen kuruluşların çeşitliliği göz önüne alındığında, bu saldırılar Hedeflenenden daha fırsatçı.”
Black Basta’nın En Son, En Sinir bozucu Hilesi
Black Basta, ilk kez Nisan 2022’de keşfedildiğinden bu yana, ABD tarafından tanımlanan 16 kritik altyapı sektöründen bir düzine dahil olmak üzere çok çeşitli organizasyonları tehlikeye attı. Üye kuruluşlar, çoğunlukla ABD, Avrupa ve Avustralya’da olmak üzere dünya çapında 500’den fazla kuruluşa saldırı düzenledi.
Tarihsel olarak, çalışma tarzının en az ilgi çekici yönü, sistemlere ilk erişimi elde etme araçları olmuştur. Ortak uyarıda belirtildiği gibi hedef odaklı kimlik avı öncelikli hedef olsa da, Şubat ayından bu yana bağlı kuruluşlar da bu işi 10.0 “kritik” dereceli güvenlik açığından yararlanarak yapıyor. ConnectWise ScreenConnect hatası CVE-2024-1709. Rapid7 araştırmacıları, söz konusu senaryodan sapmanın Nisan ayından bu yana devam ettiğini söyledi.
En son kampanyadaki saldırılar, hedeflenen ortamdaki bir grup kurbana (temel spam korumalarını aşmaya yetecek kadar) bir e-posta dalgasıyla başlıyor. E-postaların çoğu meşrudur ve çoğunlukla gerçek, dürüst kuruluşlara ait haber bültenlerine kaydolma bildirimlerinden oluşur.
Hedefler sinirlenmiş ve kafası karışmışken, saldırganlar daha sonra arama yapmaya başla. Birer birer hedefin BT personelinin üyeleri gibi davranıp, sorunlarına yardımcı olma teklifinde bulunuyorlar. klasik teknik destek dolandırıcılığı. Bunu yapmak için kurbanın, AnyDesk uzaktan izleme ve yönetim (RMM) platformu veya Windows’un yerel Hızlı Yardım yardımcı programı gibi bir uzaktan destek aracı indirmesi gerektiğini söylüyorlar.
Eğer hedef uymazsa saldırgan aramayı sonlandırıp bir sonraki kurbanına geçiyor.
Hedef AnyDesk veya Quick Assist’i çalıştırıyorsa, saldırgan onlara bilgisayarlarına erişimi nasıl devredecekleri konusunda talimat verir. Saldırgan içeri girdikten sonra yazılım güncellemeleri olarak maskelenen bir dizi toplu komut dosyasını çalıştırır. Bu komut dosyalarından ilki, saldırganın komuta ve kontrol (C2) altyapısıyla bağlantıyı doğruluyor, ardından uzaktan komutların yürütülmesine olanak tanıyan OpenSSH’yi barındıran bir ZIP arşivi indiriyor.
Bir sonraki sinir bozucu numarası için Black Basta betiği, Windows kayıt defterinde çalıştırma anahtarı girişleri oluşturur. Bu girişler, çalışma zamanında yürütülecek bir ters kabuk oluşturan ek toplu komut dosyalarına işaret eder. Böylece, kurbanın makinesi her yeniden başlatıldığında saldırganın kendi komuta ve kontrolüne (C2) bir kabuk gönderdiği sonsuz bir döngü yaratılır.
Ne yapalım
Araştırmacılar, saldırganların bazı kimlik bilgilerini topladığını gözlemlemiş olsalar da, özellikle herhangi bir toplu veri sızıntısı veya gasp örneğini tespit etmediler. Bu adımlar henüz gelmemiş olabilir.
Rapid7, kuruluşların kullandıkları RMM çözümlerini stoklamalarını ve kullanmadıkları diğer çözümleri engellemek için AppLocker veya Microsoft Defender Uygulama Denetimi gibi “izin verilenler listesine ekleme” araçlarını kullanmalarını önerdi. Ekstra güvenlik sağlamak amacıyla kuruluşlar, bu tür izin verilmeyen RMM’lerle ilişkili etki alanlarını da engelleyebilir.
Her şey başarısız olursa Knapp şöyle diyor: “Bir kuruluşun bu etkinliği tamamen engelleyememesi durumunda, önerilen yaklaşım dikkatli izleme ve yanıt prosedürleri olacaktır. Kuruluşlar, AnyDesk’in kurulumunu ve yürütülmesini izleyebilir ve bu etkinliği bilinen güvenlik yöntemleriyle karşılaştırabilir. Muhtemelen beklenen kullanıcı hesaplarından beklenen dağıtım sistemlerinden kaynaklanan yazılım dağıtımı ve temel çizgilerin dışında kalan davranışları araştırın.”
