Új Black Basta social engineering technika
A BlackBasta ransomware csoport átköltöztette social engineering támadásait a Microsoft Teams rendszerébe, vállalati help desknek adva ki magát, amely során felveszi a kapcsolatot az alkalmazottakkal, hogy segítsenek nekik egy folyamatban lévő spam-támadásban. A BlackBasta egy 2022 áprilisa óta aktív ransomware művelet, amely világszerte több száz vállalat elleni támadásért felelős. Miután a Conti csoport 2022 júniusában egy sor kínos adatbetörést követően leállt , a művelet több csoportra szakadt, és az egyik ilyen csoportról úgy vélik, hogy a Black Basta.
A ReliaQuest új jelentése szerint a kutatók megfigyelték, hogy a Black Basta leányvállalatai októberben továbbfejlesztették taktikájukat a Microsoft Teams használatával. Az előző támadáshoz hasonlóan a kiberszereplő először egy alkalmazott postaládáját árasztják el e-mailekkel. A támadók azonban ahelyett, hogy felhívnák őket, most a Microsoft Teams-en keresztül külső felhasználóként lépnek kapcsolatba az alkalmazottakkal, ahol a vállalati IT help desknek adják ki magukat, és kapcsolatba lépnek az alkalmazottal, hogy segítsenek neki a spam problémájában.
A támadók olyan „DisplayName”-re állították be a profiljukat, amelynek célja, hogy a célzott felhasználó azt higgye, hogy egy help-desk fiókkal kommunikál. A jelentés szerint a minden esetben a DisplayName a „Help Desk” karakterláncot tartalmazta, gyakran szóköz karakterekkel körülvéve. A ReliaQuest kutatói azt is megfigyelték, hogy a kiberszereplő QR-kódokat küldött a chatekben, amelyek olyan domainekhez vezettek, mint a qr-s1[.]com. Azt azonban nem tudták meghatározni, hogy mire használják ezeket a QR-kódokat. A kutatók szerint a külső Microsoft Teams-felhasználók Oroszországból származnak, az időzóna adatok rendszeresen Moszkvából származnak.
A cél az, hogy a célpontot rávegyék az AnyDesk telepítésére vagy a Quick Assist elindítására, hogy a kiberszereplő távoli hozzáférést szerezzen az áldozat eszközéhez. A csatlakozást követően a kiberszereplő az „AntispamAccount.exe”, „AntispamUpdate.exe” és „AntispamConnectUS.exe” nevű hasznos terheléseket telepítette.
