لقد برز مشغلو برامج الفدية في Black Basta كمخادعين رئيسيين. تُظهر حملاتهم الأخيرة تطورًا ملحوظًا في تكتيكات الهندسة الاجتماعية، حيث حولت منصات مثل Microsoft Teams إلى أدوات للخداع. إذا كنت تعتقد أن مآثرهم السابقة كانت جريئة، فإن تحركاتهم الأخيرة تعيد تعريف الجرأة.
دليل التشغيل الجديد: سيمفونية عمليات الاحتيال
منذ أكتوبر، صقلت Black Basta استراتيجياتها من خلال التركيز الشديد على التلاعب النفسي. باستخدام Microsoft Teams كأرض خصبة لعمليات الاحتيال، قاموا بدمج البرامج الضارة المتقدمة مع أساليب الهندسة الاجتماعية الماكرة. من طوفان البريد الإلكتروني إلى انتحال شخصية موظفي تكنولوجيا المعلومات، فقد أتقنوا فن الخداع.
دعونا نحلل سلسلة الهجوم الأخيرة الخاصة بهم، خطوة بخطوة:
1. الوصول الأولي: ذا بيت
يبدأ الهجوم بسيل من رسائل البريد الإلكتروني العشوائية التي تستهدف التغلب على الضحايا. بمجرد الشعور بالإرهاق، يواجه الضحايا مهاجمين يتنكرون في زي دعم تكنولوجيا المعلومات على Microsoft Teams. يتيح لهم هذا المظهر إقناع الضحايا بتنزيل أدوات الإدارة عن بُعد مثل AnyDesk أو TeamViewer، مما يمنح المهاجمين بابًا خلفيًا للنظام.
2. حصاد أوراق الاعتماد: ذا هوك
أدخل Safestore.dll - أداة حصاد بيانات الاعتماد الغامضة للغاية. تقوم هذه الأداة بجمع بيانات اعتماد المستخدم بصمت وتخزينها في ملفات نصية قبل تحميلها على خوادم خارجية. المهاجمون لا يطرقون الباب فحسب، بل يصنعون مفتاحهم الخاص بهدوء.
3. نشر البرامج الضارة: The Trap
مع وجود بيانات الاعتماد في متناول اليد، يتم نشر حمولات مثل البرامج الضارة Zbot و DarkGate. يتسلل Zbot عبر روابط SharePoint المخترقة، بينما يتولى DarkGate دور سكين الاستغلال التابع للجيش السويسري، مما يتيح تسجيل ضغطات المفاتيح والمثابرة والمزيد من التحكم في النظام.
4. مرحلة ما بعد الاستغلال: ذا ستينج
باستخدام بيانات الاعتماد المسروقة، يتجاوز المهاجمون شبكات VPN والمصادقة متعددة العوامل (MFA)، ويضعون أنفسهم في خطر سرقة البيانات ونشر برامج الفدية. يضمن هذا الإجراء النهائي أقصى قدر من الضرر أثناء تغطية مساراتهم.
مواجهة التهديد: توصيات عملية
- قم بتضييق الخناق على مايكروسوفت تيمز: قم بتقييد الاتصال الخارجي على Teams عن طريق حظر جميع المجالات الخارجية أو إعداد قائمة بيضاء. تسمح Microsoft Teams بالطلبات الخارجية افتراضيًا، مما يجعل المؤسسات عرضة للخطر.
- أدوات التحكم عن بعد: قم بتوحيد أدوات الإدارة عن بُعد والموافقة عليها داخل مؤسستك. قم بحظر الأدوات غير المعتمدة باستخدام حلول مثل Windows AppLocker أو حماية نقطة النهاية.
- تعزيز وعي المستخدم استثمر في برامج تدريب المستخدمين لتسليح الموظفين ضد الهندسة الاجتماعية. قم بتعليمهم تحديد بروتوكولات تكنولوجيا المعلومات الرسمية والإبلاغ عن الأنشطة المشبوهة على الفور.
- تعزيز الوصول إلى VPN قم بتوحيد استخدام VPN وحظر حركة مرور VPN منخفضة التكلفة في جدار الحماية إذا كان يفتقر إلى غرض تجاري مشروع.
.png)
.png)