Zloglasna grupa ransomware-a poznata kao “Black Basta” eskalirala je svoju taktiku društvenog inženjeringa kako bi dobila neovlašteni pristup osjetljivim sistemima i podacima organizacija.
ReliaQuest, vodeća firma za sajber sigurnost, nedavno je otkrila sofisticiranu kampanju koja uključuje korištenje Microsoft Teams poruka za ćaskanje i malicioznih QR kodova za olakšavanje početnog pristupa.
Black Basta , ranije poznat po tome što je korisnike preplavio neželjenom e-poštom i predstavljao se kao legitimno osoblje službe za pomoć, sada je unaprijedio svoje tehnike.
U nedavnim incidentima, napadači su koristili poruke ćaskanja Microsoft Teams-a za komunikaciju sa ciljanim korisnicima, dodajući ih u razgovore sa vanjskim korisnicima koji rade od lažnih zakupaca Entra ID-a.
Ovi eksterni korisnici, maskirani u podršku, administratore ili osoblje službe za pomoć, koriste imena za prikaz dizajnirana da prevare ciljane korisnike da povjeruju da komuniciraju sa pravim nalozima za pomoć.
Istraga ReliaQuesta otkrila je da su akcije napadača često potekle iz Rusije, a podaci o vremenskoj zoni koje timovi evidentiraju redovno sa Moskvom.
Pored upotrebe Microsoft Teams-a, Black Basta je u svoj phishing arsenal uveo QR kodove. Ciljani korisnici dobijaju QR kodove unutar ovih četovanja, prerušene u slike QR kodova kompanije sa legitimnim brendom .
Domeni koji se koriste za ovu aktivnost krađe identiteta QR kodom su prilagođeni tako da odgovaraju ciljanoj organizaciji, a poddomeni slijede specifičnu konvenciju imenovanja.
Iako je tačna svrha ovih QR kodova i dalje nejasna, sumnja se da usmjeravaju korisnike na dalju malicioznu infrastrukturu, postavljajući temelje za praćenje tehnika društvenog inženjeringa i implementaciju daljinskog nadzora i upravljanja RMM alatima .
Black Basta kampanja predstavlja značajnu prijetnju organizacijama u različitim sektorima i geografskim područjima.
ReliaQuest je uočio alarmantan intenzitet u aktivnostima grupe, s jednim incidentom koji je uključivao otprilike 1.000 e-mailova koji su bombardirali jednog korisnika u roku od samo 50 minuta.
Uspješno izvršavanje zlonamjernih datoteka preuzetih putem RMM alata dovelo je do Cobalt Strike beaconinga i upotrebe Imppacket modula za bočno kretanje unutar ugroženih mreža.
Krajnji cilj ovih napada je gotovo sigurno postavljanje ransomware-a.
Preporučena ublažavanja
Za borbu protiv ove prijetnje koja se razvija, ReliaQuest preporučuje nekoliko mjera:
- Blokiranje identifikovanih malicioznih domena i poddomena
- Onemogućavanje komunikacije s vanjskim korisnicima unutar Microsoft Teams-a ili dopuštanje određenih pouzdanih domena
- Postavljanje agresivnih anti-spam politika unutar sigurnosnih alata za e-poštu
- Omogućavanje evidentiranja za Microsoft timove, posebno za događaj ChatCreated, kako bi se olakšalo otkrivanje i istraživanje
Nadalje, organizacije bi trebale osigurati da zaposleni ostanu oprezni u odnosu na trenutne taktike socijalnog inženjeringa pružanjem stalne obuke i programa podizanja svijesti.
Ova budnost bi trebala biti uparena sa snažnom strategijom dubinske odbrane, koja uključuje više slojeva sigurnosnih mjera kao što su zaštitni zidovi, sistemi za otkrivanje upada i redovne sigurnosne revizije.
Kako Black Basta nastavlja prilagođavati svoje taktike, organizacije moraju ostati proaktivne u svojim naporima za sajber sigurnost. Informisanjem o najnovijim prijetnjama, primjenom sveobuhvatnih sigurnosnih protokola i njegovanjem kulture svijesti o sajber sigurnosti, organizacije mogu značajno smanjiti rizik da postanu žrtve ovih sofisticiranih napada ransomware-a.
Izvor: CyberSecurityNews