Birini takip etmek yakın zamanda belgelendi Black Basta fidye yazılımı saldırı kampanyasında Microsoft Tehdit İstihbaratı, 15 Mayıs’ta, Nisan ayının ortasından bu yana Storm-1811 olarak takip edilen mali motivasyonlu bir tehdit aktörünün taktikleri takip ettiğini doğruladı.
Tehdit grubu bir araç kullanıyor sosyal mühendislik mağdurları onlara izin vermeleri için kandırmaya yönelik kampanya Hızlı Yardım’ı kullan Microsoft teknik desteği veya hedeflenen kullanıcının şirketinden bir BT uzmanı gibi güvenilir kişilermiş gibi davranarak makinelerine uzaktan erişim için. Hızlı Yardım bir kişinin Windows veya macOS cihazını uzak bağlantı üzerinden başka biriyle paylaşmasına olanak tanıyan bir Windows uygulamasıdır.
Vishing kampanyaları Bir tehdit aktörünün Black Basta fidye yazılımını dağıtmak için Windows uzaktan erişim uygulamasını kötüye kullandığı olay, bu tür çözümlerin gelişmiş sosyal mühendislikle eşleştirildiğinde doğasında olan riski gösteriyor. Uzmanlar, bu tehdidin kurumsal güvenlik ekiplerinin de benzer şekilde anlayışlı bir yanıt vermesini gerektirdiğini ve bu ekiplerin de uyanıklığını artırması ve kuruluşlardaki çalışanlara da aynısını yapmalarını tavsiye etmesi gerektiğini söylüyor.
Yasal Windows Araçlarının Kötüye Kullanılması
Güven sağlayıp uzaktan erişim sağladıktan sonra Storm-1811, kurban makinelere çeşitli kötü amaçlı yazılımları uzaktan dağıtmak için bu kanalı kullanıyor ve sonuçta finansal kazanç için Black Basta fidye yazılımının teslim edilmesiyle sonuçlanıyor. bir blog yazısı Microsoft Tehdit İstihbaratı tarafından. Kurbanlar ayrıca BT veya yardım masası personelinin kimliğine bürünen tehdit aktörlerinden çok sayıda e-posta ve ardından gelen çağrılar alabilir.
Güvenlik uzmanları, saldırıların, tehdit aktörlerinin kullanıcıları aldatmak ve tehlikeye atmak için meşru uzaktan erişim araçlarını kötüye kullanmalarının ne kadar kolay olduğunu gösteriyor; özellikle de kurbanın kötü niyetli bir hileye kanmasını sağlayacak sosyal mühendislik becerileri sağlamsa.
“Gelişmiş sosyal mühendislik saldırıları, siber suçluların şu durumlarda kullandığı yöntemdir: [an organization] güvenlik firmasının CEO’su ve kurucu ortağı Darren Guccione, “Temel kimlik avı e-postaları veya zayıf kimlik bilgilerinin tehlikeye atılması gibi daha basit yöntemlerin kullanılması” diyor. Kaleci GüvenliğiDark Reading’e bir e-postada.
Saldırganların bu taktiklerle gösterdiği artan karmaşıklık ve uzaktan erişim araçlarını akıllıca kullanmaları, çalışanların bu tür hileleri geliştikçe nasıl tespit edecekleri konusunda sürekli eğitim ve öğretime olan ihtiyacın altını çiziyor.
Guccione, “Hızlı Yardım, kullanıcının cihazını uzak bir bağlantı üzerinden paylaşmasına olanak tanıdığından, uygulama kötü niyetli faaliyetlere zarar verme potansiyeli taşıyor” diyor.
İleri Sosyal Mühendislik
Microsoft Tehdit İstihbaratı tarafından açıklanan saldırı vektöründe Storm-1811, arzulu “BT veya yardım masası personelinin kimliğine bürünmek, bir cihazda genel onarımlar yapıyormuş gibi davranmak” veya kullanıcıların gelen kutularını abone oldukları hizmetlerle ilgili içerikle doldurmak için e-posta bombardımanına girişmek.
Microsoft’a göre, “E-posta selinin ardından tehdit aktörü, hedef kullanıcıya telefon görüşmeleri yoluyla BT desteğini taklit ederek spam sorununun çözümünde yardım sunduğunu iddia ediyor.”
Gerçekten de, bu e-posta bombalaması ileri sosyal mühendisliğin kritik bir yönüdür ve “saldırgan telefonla ulaşmadan önce kurbanı kötü niyetli bir Hızlı Yardım isteğini kabul etmeye yönlendirmek için kurbanı bunaltmaya ve kafasını karıştırmaya” hizmet eder, Stephen Kowski, saha CTO’su Eğik çizgiSonrakinotlar.
Bu bağlantı kurulduktan sonra saldırganlar kurbanın makinesinde diledikleri gibi işlem yapma özgürlüğüne sahip oluyor. Hem Rapid 7 hem de Microsoft tarafından açıklanan saldırılarda, bu etkinlik sonuçta Black Basta fidye yazılımının yayılmasıyla sona eriyor.
Storm-1811 Kampanyasında Kullanılan Kötü Amaçlı Yazılım Fırtınası
Microsoft ayrıca Storm-1811’in Black Basta yükünün öncesinde kurban makinelere ScreenConnect ve NetSupport Manager gibi uzaktan izleme ve yönetim (RMM) araçları, Qakbot ve Cobalt Strike gibi kötü amaçlı yazılımlar da dahil olmak üzere çok sayıda kötü amaçlı yazılım yaydığını gözlemledi.
Hızlı Yardım aracılığıyla erişim sağlandıktan sonra saldırgan, çeşitli kötü amaçlı yükleri dağıtmak için kullanılan bir dizi toplu iş dosyasını veya ZIP dosyasını indirmek için komut dosyasıyla yazılmış bir curl komutunu çalıştırdı. Microsoft’a göre toplu komut dosyalarının bazıları, hedeflerin oturum açma kimlik bilgilerini sağlamasını gerektiren sahte spam filtresi güncellemelerinin kullanılmasını önerdi.
Storm-1811 daha sonra kullanıldı Qakbot bir Kobalt Saldırı İşareti göndermek ve daha sonra ScreenConnect aracılığıyla tehlikeye atılmış ortamda kalıcılık oluşturmak ve yanal hareket yürütmek.
Microsoft’a göre, başka bir uzaktan erişim aracı olan NetSupport Manager, muhtemelen ek kötü amaçlı yazılım indirip yüklemek ve isteğe bağlı komutlar başlatmak için tehlikeye atılmış cihazlar üzerinde kontrolü sürdürmek için kullanıldı.
Bazı durumlarda Storm-1811, kalıcılık için güvenli bir kabuk (SSH) tüneli oluşturmak amacıyla OpenSSH tünel açma aracından da yararlandı. Sonunda aktör dağıtımı gerçekleştirmek için PsExec’i kullandı Siyah Basta Ağ genelinde fidye yazılımı.
Hızlı Yardım Saldırılarını Azaltma
Bir kurumsal kullanıcının kendi isteğiyle kendi makinesine saldırganlara uzaktan erişim izni vermesi durumunda bir kuruluşun ne kadar savunmasız olduğu göz önüne alındığında, hem Microsoft hem de uzmanlar, bu tür saldırıları azaltmanın bir yolunun, Quick Assist gibi araçları kullanılmadıklarında kaldırmak olduğunu belirtti.
Guccione, kuruluşların ayrıca “yetkisiz ayrıcalık artışını önleyen ve kullanıcı erişim rollerinin güçlü bir şekilde uygulanmasını sağlayan” sıfır güven mimarisine sahip bir ayrıcalık erişim yönetimi (PAM) çözümü uygulayabileceğini söylüyor.
“Sıfır güvenin ana hedeflerinden biri, kullanıcıları yetkilendirildikleri kaynaklar ve bilgilerle sınırlamaktır, bu da bir ihlal durumunda patlama yarıçapını azaltır” diyor.
Hem Microsoft hem de uzmanlar, Guccione’nin bunu kabul etmesine rağmen, kuruluşların vishing ve sosyal mühendislik tabanlı saldırıları tespit etmelerine yardımcı olmak için gelişmiş ve tutarlı çalışan eğitimi kullanmalarını tavsiye etti; bu da uzlaşmayı önleyebilir. “herhangi biri” onlara aşık olabilir.
Yine de “kuruluşları düzenli güvenlik eğitimi sağladığında ve çalışanları bunun gibi kötü amaçlı ekler, bağlantılar ve teknik destek dolandırıcılıkları konusunda eğittiğinde, çalışanlar bunlarla mücadele etmek için daha iyi donanıma sahip olacak” diyor.
Kowski, olay izleme ve gelişmiş e-posta çözümlerinin, bu tür kampanyaların e-posta bombalama taktiğini de etkisiz hale getirebileceğini ve “sonraki telefon görüşmesinin anında şüpheli ve gayri meşru olarak öne çıkmasına neden olabileceğini” söylüyor.
“Neyse ki, günümüzde GenAI kimlik avı çözümleri, kullanıcı deneyiminde herhangi bir değişiklik veya altyapıda önemli değişiklikler olmadan beş dakika içinde kuruluyor” diyor.
