Xakerlik guruhlari hujumlar uchun “antiqa” usuldan foydalanmoqda
Black Basta deb nomlanuvchi xakerlik guruhi o‘zini Microsoft Teams orqali qo‘llab-quvvatlash xizmati sifatida ko‘rsatib kiberhujumlar amalga oshirmoqda. 2022 yil aprel oyidan beri faoliyat yuritayotgan guruh allaqachon butun dunyo bo‘ylab o‘ndan ortiq kompaniyaning tizimiga kirishga muvaffaq bo‘lgan.
Maʼlumotlar sizdirilishi bilan bog‘liq bir qator ishlarda javobgar hisoblanayotgan Conti‘ning bo‘linishi natijasida paydo bo‘lgan Black Basta aʼzolari tarmoqlarga “kirish”da tizimdagi zaifliklar, zararli botnetlar bilan hamkorlik va ijtimoiy muhandislik kabi turli usullardan foydalanmoqda.
Joriy yil bahorida Rapid7 va ReliaQuest Black Basta‘ning yangi ijtimoiy muhandislik kampaniyasi haqida ogohlantirdi. Bu kampaniya doirasida bir qator tashkilotlarning masʼul xodimlari elektron pochtasiga minglab xatlar yuborilgan. Bunday xabarlar zararli bo‘lmasa-da, elektron pochtani tekshirish vazifasini bajargan.
Shundan so‘ng jinoyatchilar spam muammolarini hal qilishda yordam berish bahonasida xodimga qo‘ng‘iroq qilib, o‘zlarini kompaniya qo‘llab-quvvatlash xizmati xodimi sifatida tanitgan. Keyin aldov yo‘li bilan jabrlanuvchini AnyDesk yoki Windows Quick Assist kabi ish stoliga masofadan kirish dasturini o‘rnatishga ko‘ndirgan. Ha, juda sodda usul. Ish stoliga masofadan ruxsat berishda, hatto eng yaqin insonga bo‘lsa ham, ming marotaba o‘ylab ko‘rish kerak.
So‘ngra jinoyatchilar ScreenConnect, NetSupport Manager va Cobalt Strike o‘rnatadigan skriptni ishga tushirgan. Bu esa jabrlanuvchining korporativ qurilmasiga doimiy masofaviy kirish imkonini bergan. Jinoyatchilar korporativ tarmoqqa kirgach, maʼlumotlarni o‘g‘irlashi va tovlamachilik dasturlarini joriy etishi mumkin bo‘lgan.
ReliaQuest tadqiqotchilarining oktyabr oyida taqdim etgan hisobotida Black Basta taktikasini o‘zgartirib, Microsoft Teams‘dan foydalana boshlaganini maʼlum qildi. Avvalgidek, ular spam-hujumlar uyushtirgan, ammo endi telefon qilish o‘rniga, firibgarlar Microsoft Teams orqali xodimlar bilan bog‘lanib, o‘zlarini ish beruvchi kompaniyaning qo‘llab-quvvatlash xizmati xodimi sifatida tanitgan.
Black Basta Entra ID mijozlari nomi ostida qo‘llab-quvvatlash xizmatiga o‘xshash quyidagi nomdagi akkauntlar (hisob qaydnomalari) yaratadi:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
ReliaQuest, shuningdek, tadqiqotchilar jinoyatchilarning qr-s1[.]com domenlariga yo‘naltiruvchi QR-kodlarni yuborganini kuzatganini xabar qildi. Biroq, xavfsizlik kompaniyasi ushbu QR-kodlarning qanday maqsadda ishlatilayotganini aniqlay olmadi.
