Kötüye Kullanılan Windows Hızlı Yardım Aracı, Siyah Basta Fidye Yazılımı Tehdit Aktörlerine Yardımcı Olabilir

Uzaktan erişim araçlarının kullanımı, özellikle karmaşık sosyal mühendislik taktikleri konusunda uzman tehdit aktörleri tarafından kullanıldığında, işletmeler için ikili bir zorluk teşkil etmektedir. Son zamanlarda Microsoft Tehdit İstihbaratı, Storm-1811 olarak tanımlanan finansal motivasyona sahip bir grup tarafından düzenlenen bir Black Basta Fidye Yazılımı kimlik avı kampanyasının ortaya çıktığını vurguladı. Bu grup, mağdurları uzaktan bağlantıları kolaylaştıran bir Windows uygulaması olan Quick Assist aracılığıyla uzaktan erişim sağlamaya ikna etmek için Microsoft desteği veya dahili BT personeli gibi güvenilir varlıklar gibi görünen, sosyal olarak tasarlanmış bir yaklaşım kullanıyor.

Güven sağlandıktan ve erişim izni verildikten sonra Storm-1811, çeşitli kötü amaçlı yazılımları dağıtmaya devam eder ve sonuçta Black Basta fidye yazılımının dağıtımıyla sonuçlanır. Yöntem, meşru uzaktan erişim araçlarının, sosyal mühendislik becerilerine sahip tehdit aktörleri tarafından geleneksel güvenlik önlemlerini aşarak ne kadar kolay manipüle edilebileceğinin altını çiziyor. Bu gelişmiş sosyal mühendislik taktikleri, kurumsal güvenlik ekiplerinin daha fazla dikkat ve kapsamlı çalışan eğitimini vurgulayan proaktif bir yanıt vermesini gerektirir.

Storm-1811'in işleyiş şekli, kullanıcıları kandırmak ve tehlikeye atmak için vishing, e-posta bombalama ve BT personelinin kimliğine bürünme kombinasyonunu içerir. Saldırganlar, arama çağrılarını başlatmadan önce kurbanları e-posta yağmuruna tutuyor ve ortaya çıkan kafa karışıklığından yararlanarak kurbanları kötü niyetli Hızlı Yardım isteklerini kabul etmeye zorluyor. Bu planlı bombardıman, kurbanların yönünü şaşırtır, başarılı manipülasyonun ve ardından kötü amaçlı yazılımın yayılmasının önünü açar.

Microsoft'un gözlemleri, Storm-1811'in, ScreenConnect ve NetSupport Manager gibi uzaktan izleme araçları aracılığıyla sunulan, Qakbot ve Cobalt Strike dahil olmak üzere çeşitli kötü amaçlı yazılımları kullandığını ortaya koyuyor. Erişim sağlandıktan sonra saldırganlar, kötü amaçlı yükleri indirmek ve yürütmek için komut dosyası içeren komutlar kullanır ve güvenliği ihlal edilmiş sistemler üzerindeki kontrollerini sürdürür. Ayrıca Storm-1811, kalıcılığı korumak ve Black Basta fidye yazılımını ağlar arasında dağıtmak için OpenSSH tünelleme ve PsExec gibi araçlardan yararlanır.

Bu tür saldırıları azaltmak için kuruluşlara, kullanılmadıklarında uzaktan erişim araçlarını kaldırmaları ve sıfır güven mimarisiyle ayrıcalıklı erişim yönetimi çözümleri uygulamaları tavsiye edilir. Düzenli çalışan eğitimi, sosyal mühendislik taktikleri ve kimlik avı dolandırıcılıkları konusunda farkındalığın geliştirilmesi ve personelin potansiyel tehditleri belirleme ve engelleme konusunda güçlendirilmesi açısından çok önemlidir. Gelişmiş e-posta çözümleri ve olay izleme, savunmayı daha da güçlendirerek kötü amaçlı etkinliklerin anında tespit edilmesini ve azaltılmasını sağlar.

Uzaktan erişim araçlarının gelişmiş sosyal mühendislik yoluyla kullanılması, siber tehditlerin gelişen manzarasının altını çiziyor. Bu zorlukların üstesinden gelmek, teknolojik savunmaları, çalışanların eğitimini ve kötü niyetli istismara karşı koruma sağlamak için proaktif güvenlik önlemlerini kapsayan çok yönlü bir yaklaşımı gerektirir.