آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • باج‌افزار BlackBasta با جعل هویت پشتیبانی فناوری اطلاعات در Microsoft Teams، به شبکه‌ها نفوذ می‌کند.

باج‌افزار BlackBasta با جعل هویت پشتیبانی فناوری اطلاعات در Microsoft Teams، به شبکه‌ها نفوذ می‌کند.

باج‌افزار Black Basta با جعل هویت پشتیبانی فناوری اطلاعات در Microsoft Teams، به شبکه‌ها نفوذ می‌کند.

گروه باج‌افزار BlackBasta روش جدیدی برای فریب کاربران به کار گرفته است. آنها با استفاده از Microsoft Teams و با تظاهر به اینکه از نیروهای Help Desk شرکت هستند، با کارمندان تماس می‌گیرند و وانمود می‌کنند که می‌خواهند به آن‌ها در مقابله با یک حمله اسپم کمک کنند.

گروه باج‌افزاری به نام Black Basta از آوریل سال ۲۰۲۲ فعالیت خود را آغاز کرده و از آن زمان تاکنون صدها حمله سایبری علیه شرکت‌ها در سراسر دنیا انجام داده است.

گروه جرایم سایبری Conti پس از تجربه چندین نشت اطلاعات که برایشان خجالت‌آور بود، فعالیت خود را در ژوئن ۲۰۲۲ متوقف کرد. بعد از این توقف، اعضای گروه به چند دسته تقسیم شدند که تصور می‌شود یکی از این گروه‌ها، Black Basta باشد.

اعضای گروه باج‌افزاری Black Basta از چندین روش مختلف برای دسترسی به شبکه‌ها استفاده می‌کنند. این روش‌ها شامل بهره‌برداری از نقاط ضعف امنیتی شبکه‌ها، همکاری با شبکه‌های بات‌نت بدافزار (که به‌طور خودکار سیستم‌ها را آلوده می‌کنند)، و استفاده از تکنیک‌های مهندسی اجتماعی برای فریب افراد و کسب اطلاعات است.

در ماه می، دو شرکت امنیت سایبری Rapid7 و ReliaQuest به یک حمله جدید از سوی گروه Black Basta اشاره کرده‌اند که با ارسال هزاران ایمیل به حساب‌های کارمندان هدف، آنها را دچار سردرگمی و ازدحام می‌کرد. اگرچه این ایمیل‌ها حاوی محتوای مخرب نبودند و تنها شامل مواردی مانند خبرنامه‌ها و تأییدیه‌های ثبت‌نام بودند، ولی تعداد زیاد آنها باعث می‌شد صندوق ورودی افراد هدف به‌سرعت پر شود و دسترسی به ایمیل‌های مهم دشوار شود.

پس از اینکه صندوق ورودی کارمند هدف با تعداد زیادی ایمیل پر شد، هکرها با او تماس می‌گیرند و ادعا می‌کنند که از بخش پشتیبانی فناوری اطلاعات (IT Help Desk) شرکت هستند تا به او در رفع مشکل ایمیل‌های اسپم کمک کنند.

در این نوع حمله، مهاجمان از طریق تماس تلفنی تلاش می‌کنند کارمند را متقاعد کنند که برنامه AnyDesk را (که برای دسترسی و کنترل از راه دور استفاده می‌شود) روی دستگاه خود نصب کند. همچنین ممکن است کارمند را فریب دهند که از ابزار داخلی ویندوز به نام Windows Quick Assist برای به اشتراک‌گذاری صفحه و کنترل از راه دور استفاده کند. هدف اصلی مهاجمان، به دست آوردن دسترسی مستقیم به دستگاه فرد و کنترل آن است.

پس از به دست آوردن دسترسی اولیه به دستگاه کارمند، مهاجمان اسکریپتی را اجرا می‌کنند که برنامه‌های مخرب مختلفی را روی دستگاه نصب می‌کند. این برنامه‌ها، مانند ScreenConnect، NetSupport Manager و Cobalt Strike، به مهاجمان امکان دسترسی پیوسته و کنترل از راه دور روی دستگاه را می‌دهند، به طوری که می‌توانند به داده‌ها و منابع دستگاه شرکتی به صورت طولانی‌مدت دسترسی داشته باشند.

پس از به دست آوردن دسترسی اولیه به شبکه شرکت، مهاجمان Black Basta به سایر دستگاه‌ها در شبکه نفوذ می‌کنند (که به آن “گسترش جانبی” گفته می‌شود) و سطح دسترسی خود را افزایش می‌دهند تا کنترل بیشتری داشته باشند. سپس داده‌های مهم را سرقت می‌کنند و در نهایت باج‌افزار رمزگذار را اجرا می‌کنند تا فایل‌ها را قفل کنند و درخواست باج کنند.

انتقال به Microsoft Teams

در یک گزارش تازه منتشر شده توسط شرکت ReliaQuest، محققان متوجه شدند که اعضای گروه Black Basta در ماه اکتبر رویکردها و روش‌های خود را تغییر داده و به استفاده از Microsoft Teams به عنوان بخشی از استراتژی‌های خود روی آورده‌اند.

در این حمله جدید نیز مانند حمله‌های قبلی، هکرها با ارسال تعداد زیادی ایمیل به صندوق ورودی یک کارمند، آن را اشباع می‌کنند. این اقدام معمولاً برای ایجاد سردرگمی و فریب کارمند به کار می‌رود تا آن‌ها بتوانند به راحتی به اطلاعات حساس دسترسی پیدا کنند یا اقداماتی را انجام دهند که به نفع مهاجمان باشد.

مهاجمان به جای تماس تلفنی، از پلتفرم Microsoft Teams استفاده می‌کنند و به عنوان کاربران خارجی با کارمندان ارتباط برقرار می‌کنند. آن‌ها وانمود می‌کنند که از بخش پشتیبانی فناوری اطلاعات شرکت هستند و ادعا می‌کنند که برای کمک به کارمند در حل مشکل اسپم با او تماس گرفته‌اند. این روش به آنها این امکان را می‌دهد که به راحتی اعتماد کارمندان را جلب کرده و اطلاعات حساس را به دست آورند.

حساب‌های کاربری جدیدی در سیستم Entra ID ایجاد می‌شوند و نام این حساب‌ها به گونه‌ای است که شبیه به نام‌های مربوط به  Help Desk به نظر می‌رسند.

این تاکتیک به مهاجمان کمک می‌کند تا در نظر کاربران قانونی‌تر به نظر برسند و اعتماد آن‌ها را جلب کنند. در ادامه معمولاً نمونه‌هایی از این نام‌ها ارائه می‌شود.

securityadminhelper.onmicrosoft[.]com

supportserviceadmin.onmicrosoft[.]com

supportadministrator.onmicrosoft[.]com

cybersecurityadmin.onmicrosoft[.]com

گزارش ReliaQuest نشان می دهد که : کاربران خارجی (که در واقع مهاجمان هستند) نام نمایش پروفایل خود را طوری تنظیم می‌کنند که به گونه‌ای به نظر برسد که با حسابی از Help Desk ها در حال ارتباط هستند. هدف از این کار این است که اعتماد کاربر هدف را جلب کرده و او را فریب دهند تا اطلاعات حساس را در اختیار مهاجمان قرار دهد.

در بیشتر حملات مورد بررسی، نام نمایشی که مهاجمان استفاده می‌کنند شامل عبارت “Help Desk” است و معمولاً با فاصله‌های اضافی احاطه شده است. این کار به منظور جلب توجه و متمرکز کردن نام در چت انجام می‌شود. همچنین، آن‌ها متوجه شدند که معمولاً کاربران هدف به یک چت خصوصی (OneOnOne) اضافه می‌شوند که به مهاجمان این امکان را می‌دهد تا به صورت مستقیم و خصوصی با کاربر ارتباط برقرار کنند.

شرکت ReliaQuest متوجه شده است که مهاجمان در چت‌ها از کدهای QR استفاده می‌کنند که کاربر را به دامنه‌هایی خاص هدایت می‌کنند. در این مورد، یکی از این دامنه‌ها qr-s1[.]com ذکر شده است. اما آن‌ها نتوانسته‌اند بفهمند که هدف واقعی این کدهای QR چیست یا چه نوع اطلاعاتی از طریق آن‌ها منتقل می‌شود.

محققان متوجه شده‌اند که کاربران خارجی که در حملات از Microsoft Teams استفاده می‌کنند، ریشه‌دار از روسیه هستند. همچنین، زمان‌های ثبت‌شده (داده‌های منطقه زمانی) معمولاً نشان‌دهنده مسکو هستند، که می‌تواند به عنوان نشانه‌ای از محل فعالیت آن‌ها در نظر گرفته شود. این اطلاعات می‌تواند به شناسایی و تحلیل دقیق‌تر منبع حملات کمک کند.

مهاجمان در تلاش هستند تا کاربر هدف را متقاعد کنند که یکی از دو برنامه، یعنی AnyDesk یا Quick Assist را بر روی دستگاه خود نصب کند یا اجرا کند. هدف اصلی آن‌ها به دست آوردن دسترسی از راه دور به دستگاه کاربر است، که به آن‌ها این امکان را می‌دهد تا کنترل و نظارت بر فعالیت‌های کاربر را انجام دهند یا اطلاعات حساس را سرقت کنند.

پس از اینکه مهاجمان به دستگاه کاربر دسترسی پیدا کردند، آن‌ها برنامه‌هایی را با نام‌هایی خاص نصب کردند. این نام‌ها شامل “AntispamAccount.exe”، “AntispamUpdate.exe” و “AntispamConnectUS.exe” هستند.

برخی محققان متوجه شدند که برنامه‌ای به نام AntispamConnectUS.exe در پایگاه داده VirusTotal به عنوان SystemBC شناسایی شده است. SystemBC یک نوع بدافزار پروکسی است که برای پنهان کردن فعالیت‌های مخرب و تسهیل دسترسی به سیستم‌های دیگر استفاده می‌شود. همچنین اشاره شده است که گروه Black Basta در گذشته از این نوع بدافزار استفاده کرده است، که نشان‌دهنده ارتباط آن‌ها با این بدافزار است.

پس از مراحل قبلی، برنامه‌ای به نام Cobalt Strike بر روی دستگاهی که به آن نفوذ شده، نصب می‌شود. Cobalt Strike یک ابزار قدرتمند است که به مهاجمان این امکان را می‌دهد تا به‌طور کامل بر دستگاه کنترل داشته باشند و از آن به‌عنوان نقطه شروعی برای گسترش نفوذ خود به سایر قسمت‌های شبکه استفاده کنند. این عمل می‌تواند به سرقت اطلاعات یا ایجاد آسیب‌های بیشتر در شبکه بینجامد.

شرکت ReliaQuest به سازمان‌ها توصیه می‌کند که برای افزایش امنیت، ارتباطات از کاربران خارجی را در Microsoft Teams محدود کنند و تنها به دامنه‌های قابل اعتماد اجازه دسترسی دهند. همچنین، آن‌ها پیشنهاد می‌کنند که ثبت رویدادها فعال شود، به‌ویژه برای رویدادهایی که مربوط به ایجاد چت‌ها هستند (ChatCreated)، تا سازمان‌ها بتوانند چت‌های مشکوک را شناسایی و بررسی کنند. این اقدامات به منظور کاهش خطر حملات سایبری و بهبود امنیت اطلاعات در سازمان‌ها پیشنهاد شده است.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب