16 Mayıs 2024Haber odasıFidye Yazılımı / Olay Müdahalesi
Microsoft Tehdit İstihbaratı ekibi, bu isim altında takip ettiği bir tehdit aktörünü gözlemlediğini söyledi. Fırtına-1811 Sosyal mühendislik saldırılarında kullanıcıları hedeflemek için müşteri yönetimi aracı Hızlı Yardım’ın kötüye kullanılması.
Şirket, “Storm-1811, Black Basta fidye yazılımını dağıttığı bilinen, finansal motivasyona sahip bir siber suç grubudur” dedi. söz konusu 15 Mayıs 2024’te yayınlanan bir raporda.
Saldırı zinciri, şüpheli olmayan kurbanları uzaktan izleme ve yönetim (RMM) araçları yüklemeleri için kandırmak amacıyla sesli kimlik avı yoluyla kimliğe bürünme kullanımını ve ardından QakBot, Cobalt Strike ve son olarak Black Basta fidye yazılımının teslim edilmesini içeriyor.
Teknoloji devi, “Tehdit aktörleri, örneğin Microsoft teknik desteği gibi güvenilir bir kişi veya hedef kullanıcının şirketindeki bir BT uzmanı gibi davranarak, hedef cihaza ilk erişim elde etmek amacıyla sosyal mühendislik saldırıları gerçekleştirmek için Hızlı Yardım özelliklerini kötüye kullanıyor” dedi. .
Hızlı Yardım bir meşru başvuru Kullanıcıların Windows veya macOS cihazlarını uzaktan bağlantı üzerinden başka bir kişiyle paylaşmalarına olanak tanıyan Microsoft’tan, esas olarak sistemlerindeki teknik sorunları gidermek amacıyla. Windows 11 çalıştıran cihazlarda varsayılan olarak yüklü olarak gelir.
Saldırıları daha ikna edici hale getirmek için tehdit aktörleri, hedeflenen e-posta adreslerinin çeşitli meşru e-posta abonelik hizmetlerine kaydolarak gelen kutularını abone olunan içerikle doldurduğu bir tür e-posta bombalama saldırısı olan bağlantı listeleme saldırıları başlatır.
Düşman daha sonra hedef kullanıcıyı telefonla arayarak şirketin BT destek ekibi kılığına giriyor, spam sorununun çözümünde yardım teklif ettiğini ve Hızlı Yardım yoluyla cihazlarına erişmesine izin verdiğini iddia ediyor.
Windows yapımcısı, “Kullanıcı erişim ve kontrole izin verdiğinde, tehdit aktörü, kötü amaçlı yükleri dağıtmak için kullanılan bir dizi toplu iş dosyasını veya ZIP dosyasını indirmek için komut dosyasıyla yazılmış bir cURL komutunu çalıştırır” dedi.
“Storm-1811 onların erişiminden yararlanıyor ve etki alanı numaralandırma ve yatay hareket gibi klavye üzerinde uygulamalı faaliyetler gerçekleştiriyor. Storm-1811 daha sonra Black Basta fidye yazılımını ağ genelinde dağıtmak için PsExec’i kullanıyor.”
Microsoft, bu saldırılarda Quick Assist’in kötüye kullanımını yakından incelediğini ve fidye yazılımı dağıtımını kolaylaştırabilecek olası teknik destek dolandırıcılıkları konusunda kullanıcıları bilgilendirmek için yazılıma uyarı mesajları eklemeye çalıştığını söyledi.
Rapid7, saldırıların fırsatçı doğasına işaret ederek, Nisan 2024’ün ortasında başladığına inanılan kampanyanın imalat, inşaat, yiyecek ve içecek ve taşımacılık dahil olmak üzere çeşitli endüstrileri ve sektörleri hedef aldığını söyledi.
Olaylara müdahaleden sorumlu kıdemli yönetici Robert Knapp, “Bu saldırıları gerçekleştirirken giriş engelinin düşük olması ve bu saldırıların kurbanları üzerinde yarattığı önemli etkiler, fidye yazılımlarını maaş günü isteyen tehdit aktörleri için son derece etkili bir araç haline getirmeye devam ediyor” dedi. The Hacker News ile paylaşılan bir açıklamada, Rapid7’deki hizmetlerin
Microsoft ayrıca Black Basta’yı hizmet olarak fidye yazılımının aksine “kapalı bir fidye yazılımı teklifi” olarak tanımladı (RaaS) fidye yazılımı ve gasp saldırıları yürüten çekirdek geliştiriciler, bağlı kuruluşlar ve ilk erişim aracılarından oluşan bir ağdan oluşan operasyon.
Şirket, “ilk erişim, kötü amaçlı altyapı ve kötü amaçlı yazılım geliştirme için genellikle diğer tehdit aktörlerine güvenen az sayıda tehdit aktörü tarafından dağıtıldığını” söyledi.
“Black Basta’nın ilk kez Nisan 2022’de ortaya çıkmasından bu yana, Black Basta saldırganları, QakBot ve diğer kötü amaçlı yazılım dağıtıcılarından erişim aldıktan sonra fidye yazılımını dağıttı; bu da kuruluşların tehdidi azaltmak için fidye yazılımı dağıtımından önce saldırı aşamalarına odaklanması ihtiyacını vurguladı.”
Kuruluşlara tavsiye edilir Hızlı Yardımı engelleme veya kaldırma ve benzeri uzaktan izleme ve yönetim araçları, eğer kullanılmıyorlarsa ve çalışanları teknik destek dolandırıcılıklarını tanımaları konusunda eğitin.
siber-2