ब्लैकबस्टा रैनसमवेयर ऑपरेशन ने अपने सोशल इंजीनियरिंग हमलों को Microsoft समूहों में स्थानांतरित कर दिया है, जो कंपनी सहायता डेस्क के रूप में कर्मचारियों से संपर्क कर रहे हैं ताकि उन्हें चल रहे स्पैम हमले में मदद मिल सके।
ब्लैक बस्टा एक रैनसमवेयर ऑपरेशन है जो अप्रैल 2022 से सक्रिय है और दुनिया भर में कंपनियों के खिलाफ बहुत सारे हमलों के लिए जिम्मेदार है।
जून 2022 में शर्मनाक डेटा उल्लंघनों की एक श्रृंखला के बाद कॉन्टी साइबरक्राइम सिंडिकेट बंद होने के बाद, ऑपरेशन कई समूहों में विभाजित हो गया, जिनमें से एक गुट को ब्लैक बस्टा माना जाता है।
ब्लैक बस्टा के सदस्य कई रणनीतियों द्वारा नेटवर्क का उल्लंघन करते हैं, जिसमें कमजोरियाँ, इच्छा मैलवेयर बॉटनेट और सोशल इंजीनियरिंग शामिल हैं।
मई में, रैपिड7 और रिलियाक्वेस्ट ने एक नए ब्लैक बस्टा सोशल इंजीनियरिंग मार्केटिंग अभियान पर सलाह दी, जिसने लक्षित कर्मचारियों के इनबॉक्स को सैकड़ों ईमेल से भर दिया। ये ईमेल प्रकृति में दुर्भावनापूर्ण नहीं थे, जिनमें बड़े पैमाने पर न्यूज़लेटर, साइन-अप पुष्टिकरण और ईमेल सत्यापन शामिल थे, हालाँकि वे जल्द ही किसी व्यक्ति के इनबॉक्स को भर देते थे।
इसके बाद, धमकी देने वाले लोग परेशान कर्मचारी को कॉल करते थे, और खुद को उनकी फर्म के IT सहायता डेस्क के रूप में पेश करते थे, ताकि वे स्पैम समस्याओं में उनकी सहायता कर सकें।
इस वॉयस सोशल इंजीनियरिंग हमले के दौरान, हमलावर व्यक्ति को AnyDesk रिमोट हेल्प सॉफ़्टवेयर इंस्टॉल करने या होम विंडोज फास्ट हेल्प रिमोट मैनेजमेंट और स्क्रीन-शेयरिंग सॉफ़्टवेयर लॉन्च करके अपने होम विंडोज गैजेट्स में रिमोट एक्सेस देने के लिए धोखा देते थे।
वहां से, हमलावर एक स्क्रिप्ट चलाते थे जो स्क्रीनकनेक्ट, नेटसपोर्ट सुपरवाइजर और कोबाल्ट स्ट्राइक जैसे कई पेलोड इंस्टॉल करता था, जो व्यक्ति की कंपनी प्रणाली में निरंतर रिमोट एक्सेस देते थे।
अब जब ब्लैक बस्ता सहयोगी ने कंपनी समुदाय में प्रवेश प्राप्त कर लिया है, तो वे विशेषाधिकारों को बढ़ाते हुए, डेटा चुराते हुए और अंत में रैंसमवेयर एन्क्रिप्टर को तैनात करते हुए अन्य गैजेट्स में फैल सकते हैं।
Microsoft समूहों में स्थानांतरित होना
ReliaQuest की एक नई रिपोर्ट में, शोधकर्ताओं ने अक्टूबर में ब्लैक बस्ता सहयोगियों को Microsoft समूहों का उपयोग करके अपनी तकनीकों को विकसित करते हुए देखा।
पिछले हमले की तरह ही, धमकी देने वाले अभिनेता सबसे पहले ईमेल के साथ कर्मचारी के इनबॉक्स को भर देते हैं।
फिर भी, उन्हें कॉल करने के बजाय, हमलावर अब Microsoft Groups के ज़रिए कर्मचारियों से बाहरी ग्राहकों के रूप में संपर्क करते हैं, जहाँ वे कंपनी के IT सहायता डेस्क का रूप धारण करके कर्मचारी से संपर्क करते हैं ताकि उनकी स्पैम समस्या में उनकी मदद की जा सके।
खाते Entra ID टेनेंट के तहत बनाए जाते हैं, जिनका नाम सहायता डेस्क जैसा दिखने के लिए रखा जा सकता है, जैसे:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
“ये बाहरी उपयोगकर्ता अपने प्रोफ़ाइल को “DisplayName” पर सेट करते हैं, ताकि लक्षित व्यक्ति को लगे कि वे किसी सहायता डेस्क खाते से बात कर रहे हैं,” नई ReliaQuest रिपोर्ट बताती है।
“लगभग सभी मामलों में हमने देखा है कि शो पहचान में स्ट्रिंग “असिस्ट डेस्क” शामिल है, जो आमतौर पर रिक्त स्थान वर्णों से घिरा होता है, जो चैट के अंदर पहचान को केंद्र में रखने की अधिक संभावना है। हमने यह भी देखा कि, कभी-कभी, लक्षित ग्राहकों को “वनऑनवन” चैट में जोड़ा गया था।”
रिलियाक्वेस्ट का कहना है कि उन्होंने चैट के भीतर क्यूआर कोड भेजने वाले खतरे वाले अभिनेताओं को भी देखा है, जो qr-s1[.]com जैसे डोमेन में परिणत होते हैं। फिर भी, वे यह तय नहीं कर सकते कि इन क्यूआर कोड का उपयोग किस लिए किया जाता है।
शोधकर्ताओं का कहना है कि बाहरी Microsoft समूह ग्राहक रूस से आते हैं, समय क्षेत्र का ज्ञान आमतौर पर मास्को से होता है।
इसका उद्देश्य एक बार फिर लक्ष्य को AnyDesk इंस्टॉल करने या फास्ट हेल्प लॉन्च करने के लिए धोखा देना है ताकि खतरे वाले अभिनेता अपने गैजेट तक दूरस्थ पहुँच प्राप्त कर सकें।
जैसे ही लिंक किया गया, खतरे वाले अभिनेताओं को “AntispamAccount.exe,” “AntispamUpdate.exe,” और “AntispamConnectUS.exe” नामक पेलोड इंस्टॉल करते देखा गया।
विभिन्न शोधकर्ताओं ने VirusTotal पर AntispamConnectUS.exe को SystemBC के रूप में चिह्नित किया है, जो एक प्रॉक्सी मैलवेयर है जिसका उपयोग ब्लैक बस्ता ने अतीत में किया था।
अंत में, कोबाल्ट स्ट्राइक को स्थापित किया गया है, जो समुदाय में आगे बढ़ने के लिए एक स्प्रिंगबोर्ड के रूप में कार्य करने के लिए समझौता किए गए सिस्टम तक पूर्ण पहुँच प्रदान करता है।
ReliaQuest सुझाव देता है कि संगठन Microsoft Groups में बाहरी ग्राहकों से संचार को सीमित करें और, यदि आवश्यक हो, तो इसे केवल विश्वसनीय डोमेन से सक्षम करें। संदिग्ध चैट को खोजने के लिए, विशेष रूप से ChatCreated अवसर के लिए लॉगिंग को भी सक्षम किया जाना चाहिए।
