Black Basta fidye yazılımıyla bağlantılı tehdit aktörlerinin, Ekim 2024’ün başlarından bu yana sosyal mühendislik taktiklerini değiştirdikleri ve Zbot ve DarkGate gibi farklı yükleri dağıttıkları gözlemlendi.
Rapid7, “Hedef ortamdaki kullanıcılar, tehdit aktörü tarafından e-posta bombardımanına maruz kalacak ve bu genellikle kullanıcının e-postasının aynı anda çok sayıda posta listesine kaydedilmesiyle gerçekleştirilir.” söz konusu. “E-posta bombasının ardından tehdit aktörü etkilenen kullanıcılara ulaşacak.”
Ağustos ayında gözlemlendiği gibi saldırganlar, kuruluşun destek personeli veya BT personeli gibi davranarak Microsoft Teams’teki olası hedeflerle ilk teması kuruyor. Bazı durumlarda, hedeflenen kuruluştaki BT personelinin kimliğine büründükleri de gözlemlendi.
Tehdit aktörleriyle etkileşime giren kullanıcılardan AnyDesk, ScreenConnect, TeamViewer ve Microsoft’un Quick Assist’i gibi yasal uzaktan erişim yazılımlarını yüklemeleri isteniyor. Windows üreticisi, Storm-1811 adı altında Black Basta dağıtımı için Quick Assist’in kötüye kullanılmasının ardındaki siber suçlu grubunu takip ediyor.
Rapid7 ayrıca, fidye yazılımı ekibinin ters kabuk oluşturmak için OpenSSH istemcisinden yararlanmaya yönelik girişimlerde bulunduğunu ve ayrıca güvenilir bir mobil cihaz ekleme bahanesi altında muhtemelen kimlik bilgilerini çalmak için kurban kullanıcıya sohbetler aracılığıyla kötü amaçlı bir QR kodu gönderme girişimlerini de tespit ettiğini söyledi. cihaz.
Ancak siber güvenlik şirketi ReliaQuest de rapor edildi Aynı kampanyada, QR kodlarının kullanıcıları daha fazla kötü amaçlı altyapıya yönlendirmek için kullanıldığı öne sürülüyor.
AnyDesk’in (veya eşdeğerinin) kurulumuyla kolaylaştırılan uzaktan erişim, daha sonra ele geçirilen ana bilgisayara, özel bir kimlik bilgisi toplama programı ve ardından Zbot (aka ZLoader) veya DarkGate’in yürütülmesi de dahil olmak üzere ek yükler sağlamak için kullanılır. takip eden saldırılar için ağ geçidi.
Rapid7 güvenlik araştırmacısı Tyler McGraw, “İlk erişimin ardından genel hedef aynı görünüyor: ortamı hızlı bir şekilde numaralandırmak ve kullanıcının kimlik bilgilerini boşaltmak.” dedi.
“Mümkün olduğunda, operatörler yine de mevcut tüm VPN yapılandırma dosyalarını çalmaya çalışacak. Kullanıcının kimlik bilgileri, kuruluş VPN bilgileri ve potansiyel MFA bypass’ı ile hedef ortamda doğrudan kimlik doğrulaması yapmak mümkün olabilir.”
Black Basta, Conti’nin 2022’de kapatılmasının ardından Conti’nin küllerinden özerk bir grup olarak ortaya çıktı; başlangıçta hedeflere sızmak için QakBot’tan yararlandı, ardından sosyal mühendislik tekniklerine yöneldi. UNC4393 olarak da anılan tehdit aktörü o zamandan beri kullanıma sunuldu çeşitli özel kötü amaçlı yazılım aileleri hedeflerini gerçekleştirmek için –
- KNOTWRAP, C/C++ ile yazılmış, bellekte ek bir veri yükü çalıştırabilen, yalnızca bellek içeren bir damlalıktır
- Fidye yazılımını yürütmek için kullanılan .NET tabanlı bir yardımcı program olan KNOTROCK
- DAWNCRY, gömülü bir kaynağın şifresini sabit kodlanmış bir anahtarla belleğe çözen, yalnızca bellek içeren bir damlalıktır
- PORTYARD, TCP üzerinden özel bir ikili protokol kullanarak sabit kodlu bir komut ve kontrol (C2) sunucusuna bağlantı kuran bir tünel oluşturucudur.
- COGSCAN, ağda bulunan ana bilgisayarların bir listesini toplamak için kullanılan bir .NET keşif derlemesi
RedSense’ten Yelisey Bohuslavskiy, “Black Basta’nın kötü amaçlı yazılım yayma konusundaki evrimi, tamamen botnet’e dayalı bir yaklaşımdan sosyal mühendisliği entegre eden hibrit bir modele doğru tuhaf bir geçişi gösteriyor.” söz konusu.
Açıklama Check Point olarak geliyor ayrıntılı Akira fidye yazılımının güncellenmiş bir Rust varyantına ilişkin analizi, kötü amaçlı yazılım yazarlarının üçüncü taraf kitaplıklarla ve gösterge, pas-kripto ve denizatı gibi kasalarla ilişkili hazır standart kodlara olan güvenini vurguluyor.
Fidye yazılımı saldırıları aynı zamanda Mimic fidye yazılımının bir çeşidini de kullanmıştır. ElpacoRhysida enfeksiyonlarıyla birlikte veri sızdırma ve kalıcılığa yardımcı olmak için CleanUpLoader’ı da kullanıyor. Kötü amaçlı yazılım genellikle Microsoft Teams ve Google Chrome gibi popüler yazılımların yükleyicileri olarak gizlenir.
Recorded Future, “Rhysida, popüler yazılım indirme sitelerine benzeyen hatalı alan adları oluşturarak kullanıcıları virüslü dosyaları indirmeleri için kandırıyor.” söz konusu. “Bu teknik, bu alanların arama motoru sonuçlarında daha üst sıralarda yer aldığı ve meşru indirme kaynakları olarak görünmelerine neden olan SEO zehirlenmesi ile birleştiğinde özellikle etkilidir.”
