Güvenlik sağlayıcısı Quadrant, bir Black Basta saldırısını canlı olarak takip etmeyi ve teknik arka planı değerlendirmeyi başardı. Uzmanlar, Black Basta'daki süreçleri bilmiyorlar, ancak artık izlenebilen boşlukları da ortaya çıkardılar. Bu, artık bu şekilde kullanılamayan Kara Basta'nın tüm yapısı için ağır bir darbedir.
Quadrant kısa bir süre önce bir müşteriye Black Basta fidye yazılımı grubu tarafından kurumsal çapta bir uzlaşmada yardımcı oldu. Bu grup, orta ila büyük işletmeleri hedef aldığı bilinen bir "hizmet olarak fidye yazılımı" (RaaS) kuruluşudur.
Değerlendirilen Black Basta canlı saldırısı
Şirket şimdi uzlaşmanın gidişatına genel bir bakış sunuyor ve gözlemlenen kötü amaçlı yazılımların ve başarılı bir kimlik avı kampanyasından fidye yazılımı patlaması girişimine kadar değişen tekniklerin teknik analizi. Tehdit aktörünün eylemlerine ilişkin bazı kesin ayrıntılar hâlâ bilinmemekle birlikte, toplanan kanıtlar artık istismarların çoğu hakkında sonuçlara varılmasına olanak sağlamıştır. Müşteri verileri değiştirilirken, kötü amaçlı alan adları dahil olmak üzere güvenlik ihlali göstergeleri değiştirilmedi.
Tüm saldırı, tanınan bir kimlik avı e-postasıyla başladı. İlk kimlik avı e-postalarından sonra, tehdit aktörü, farklı alanlardan benzer hesap adlarını kullanarak müşteriye ek kimlik avı e-postaları gönderdi. “Qakbot” ile e-postalar, bağlantı denemelerini başlatan gelişmiş bir Trojan içeriyordu. Suricata motoru bu bağlantı girişimlerini tespit etti, ancak paket inceleme motoru tarafından herhangi bir uyarı verilmedi.
Rus C2 etki alanına doğrudan kişiler
Quadrant, Suricata algılama motorunu çalıştıran şirket içi paket inceleme motoru (PIE) cihazlarını kullanarak gelen ve giden kurumsal trafiği izler. Sonunda, kötü amaçlı yazılım etkin bir C2 sunucusu bulabildi. İlk bulaşma ile güvenliği ihlal edilmiş bir ana bilgisayar ile C2 etki alanı arasındaki ilk başarılı iletişim arasında yaklaşık 35 dakika geçti.
Daha sonra Brute Ratel penetrasyon testi çerçevesi olduğu anlaşılan ikinci aşama yükü, daha sonra Rusya'dan bir IP bağlantısı aracılığıyla indirildi. Yönetici erişimi daha sonra çeşitli adımlarla sağlandı. Bunun ardından tehdit aktörü, ortama yeni yönetici hesapları da ekledi. Son olarak, ESXi sunucuları şifrelendi, ancak saldırı durduruldu ve büyük hasar önlendi.
Saldırı saldırısı sırasında Black Basta'nın "arka uç operasyonları" hakkında elde edilen tüm içgörüler, Quadrant tarafından bir uzman öyküsünde hazırlandı. Black Basta saldırısıyla ilgili tüm teknik verilerin olduğu arka plan aydınlatıldı ve diğer uzmanlar için şeffaf hale getirildi. Bu, diğer güvenlik ekiplerinin de Black Basta'nın teknik platformu hakkında iyi bir içgörüye sahip olduğu ve saldırıları daha kolay tanıyıp önlem alabileceği anlamına gelir.
Kırmızı./sel
Daha fazlası Quadrantsec.com'da