BlackBasta 勒索软件行动已将其社会工程攻击转移到 Microsoft Teams,伪装成公司帮助台联系员工以协助他们进行正在进行的垃圾邮件攻击。
Black Basta 是一个勒索软件行动,自 2022 年 4 月起活跃,并对全球数百起企业攻击负责。
2022 年 6 月,在发生一系列令人 尴尬的数据泄露事件后,Conti 网络犯罪集团被关闭 ,之后该组织 分裂为多个团体,其中一个派系被认为是 Black Basta。
Black Basta 成员通过各种方法破坏网络,包括漏洞、合作、恶意软件僵尸网络和社会工程学。
5 月,Rapid7和ReliaQuest发布了有关 Black Basta 新社交工程活动的建议,该活动向目标员工的收件箱发送了数千封电子邮件。这些电子邮件本质上不是恶意的,主要包括新闻通讯、注册确认和电子邮件验证,但它们很快就淹没了用户的收件箱。
然后,威胁行为者会打电话给这名不堪重负的员工,冒充其公司的 IT 帮助台,帮助他们解决垃圾邮件问题。
在这次语音社会工程攻击中,攻击者通过启动 Windows Quick Assist 远程控制和屏幕共享工具,诱骗用户安装 AnyDesk 远程支持工具或提供对其 Windows 设备的远程访问。
从那里,攻击者将运行一个脚本来安装各种有效载荷,例如 ScreenConnect、NetSupport Manager 和 Cobalt Strike,这些载荷可以持续访问用户的公司设备。
现在,Black Basta 的附属机构已经获得了公司网络的访问权限,他们会横向扩散到其他设备,同时提升权限、窃取数据,并最终部署勒索软件加密器。
迁移至 Microsoft Teams
在 ReliaQuest 的一份新报告中,研究人员发现 Black Basta 的附属机构在 10 月份通过使用 Microsoft Teams 改进了他们的策略。
与之前的攻击类似,威胁行为者首先用电子邮件淹没员工的收件箱。
然而,攻击者现在不再直接打电话给员工,而是以外部用户的身份通过 Microsoft Teams 联系员工,他们冒充公司 IT 帮助台联系员工,协助他们解决垃圾邮件问题。
这些帐户是在 Entra ID 租户下创建的,其名称看起来像是帮助台,例如:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
ReliaQuest 的新报告解释道:“这些外部用户将他们的个人资料设置为‘显示名称’,目的是让目标用户认为他们正在与帮助台帐户进行通信。”
“在我们观察到的几乎所有情况下,显示名称都包含字符串“Help Desk”,通常由空格字符包围,这很可能使名称在聊天中居中。我们还观察到,通常情况下,目标用户会被添加到“OneOnOne”聊天中。”
ReliaQuest 表示,他们还发现威胁者在聊天中发送二维码,这些二维码指向 qr-s1[.]com 等域名。但他们无法确定这些二维码的用途。
研究人员表示,外部 Microsoft Teams 用户来自俄罗斯,时区数据通常来自莫斯科。
目标是再次诱骗目标安装 AnyDesk 或启动快速助手,以便威胁行为者可以远程访问他们的设备。
一旦连接,就会看到威胁行为者安装名为“AntispamAccount.exe”、“AntispamUpdate.exe”和“AntispamConnectUS.exe”的有效负载。
其他研究人员在VirusTotal上将 AntispamConnectUS.exe 标记为SystemBC ,这是 Black Basta过去使用过的代理恶意软件。
最终,安装 Cobalt Strike,提供对受感染设备的完全访问权限,作为进一步深入网络的跳板。
ReliaQuest 建议组织限制 Microsoft Teams 中来自外部用户的通信,如果需要,仅允许来自受信任域的通信。还应启用日志记录,尤其是针对 ChatCreated 事件,以查找可疑聊天。
