L’operazione BlackBasta Ransomware ha spostato i suoi attacchi di ingegneria sociale su Microsoft Teams, fingendosi help desk aziendali che contattano i dipendenti per aiutarli con un attacco di spam in corso.
Black Basta è un'operazione ransomware attiva dall'aprile 2022 ed è responsabile di centinaia di attacchi contro aziende in tutto il mondo.
Dopo che il sindacato del crimine informatico Conti è stato chiuso nel giugno 2022 a seguito di una serie di imbarazzanti violazioni dei dati, l'operazione si è divisa in più gruppi, uno dei quali si ritiene sia Black Pasta.
I membri di Black Basta si infiltrano nelle reti attraverso vari metodi, tra cui vulnerabilità, botnet dannose e ingegneria sociale.
a maggio, Veloce7 E ReliaQuest Ha emesso avvertimenti sulla nuova campagna di ingegneria sociale di Black Basta che ha inondato le caselle di posta dei dipendenti presi di mira con migliaia di e-mail. Queste e-mail non erano di natura dannosa, consistevano principalmente in newsletter, conferme di iscrizione e verifica e-mail, ma inondavano rapidamente la casella di posta dell'utente.
Gli autori delle minacce contattano quindi il dipendente sopraffatto, fingendosi l'help desk IT della propria azienda per aiutarlo a risolvere i problemi di spam.
Durante un attacco di ingegneria sociale vocale, gli aggressori inducono una persona a installare lo strumento di supporto remoto AnyDesk o a fornire accesso remoto al proprio dispositivo Windows eseguendo lo strumento di controllo remoto e condivisione dello schermo di Windows Quick Assist.
Da lì, gli aggressori eseguono uno script che installa vari payload, come ScreenConnect, NetSupport Manager e Cobalt Strike, che forniscono un accesso remoto persistente al dispositivo aziendale dell'utente.
Ora che l'affiliato Black Basta ha accesso alla rete aziendale, si diffonderà orizzontalmente su altri dispositivi con privilegi elevati, dati rubati e, infine, diffondendo cripto-ransomware.
Passare a Microsoft Teams
In un nuovo rapporto di ReliaQuest, i ricercatori notano che gli affiliati di Black Basta stanno evolvendo le loro tattiche in ottobre utilizzando Microsoft Teams.
Come nell'attacco precedente, gli autori delle minacce inondano innanzitutto di e-mail la casella di posta del dipendente.
Tuttavia, invece di contattarli, gli aggressori ora contattano i dipendenti tramite Microsoft Teams come utenti esterni, dove si spacciano per l’help desk IT dell’azienda e contattano il dipendente per aiutarlo a risolvere il problema dello spam.
Gli account vengono creati all'interno dei tenant Entra ID denominati per apparire come help desk, ad esempio:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
“Questi utenti esterni impostano i loro profili su un 'DisplayName' progettato per far credere all'utente target di comunicare con un account dell'help desk”, spiega la nuova ordinanza. Rapporto RelayQuest.
“In quasi tutti i casi, abbiamo osservato che il nome visualizzato includeva la stringa 'HelpDesk', spesso circondata da caratteri di spazio bianco, che probabilmente centravano il nome all'interno della chat. Abbiamo anche osservato che, in genere, gli utenti target venivano aggiunti a 'OneOnOne ' chiacchierata “.
ReliaQuest afferma di aver visto anche autori di minacce inviare codici QR nelle chat, che portavano a domini come qr-s1[.]com. Tuttavia, non sono stati in grado di determinare a cosa servissero questi codici QR.
I ricercatori affermano che gli utenti esterni di Microsoft Teams provengono dalla Russia, con dati sul fuso orario che arrivano regolarmente da Mosca.
L'obiettivo è indurre nuovamente la vittima a installare AnyDesk o a eseguire Quick Assist in modo che gli autori delle minacce possano ottenere l'accesso remoto al proprio dispositivo.
Una volta connessi, gli autori delle minacce sono stati visti installare payload denominati “AntispamAccount.exe”, “AntispamUpdate.exe” e “AntispamConnectUS.exe”.
Altri ricercatori hanno segnalato AntispamConnectUS.exe attivo Virus totale Piace SistemaBCche è un malware per server proxy utilizzato da Black Basta in passato.
Alla fine, è stato installato Cobalt Strike, fornendo pieno accesso al dispositivo compromesso e fungendo da trampolino di lancio per avanzare nella rete.
ReliaQuest suggerisce alle organizzazioni di limitare la comunicazione da parte di utenti esterni in Microsoft Teams e, se necessario, di consentirla solo da domini attendibili. Dovresti anche abilitare la registrazione, in particolare per l'evento ChatCreated, per trovare chat sospette.
“Pensatore. Fanatico professionista di Twitter. Introverso certificato. Piantagrane. Esperto di zombi impenitente.”
