Η λειτουργία ransomware BlackBasta έχει μεταφέρει τις επιθέσεις κοινωνικής μηχανικής της στο Microsoft Teams, παριστάνοντας ως εταιρικά γραφεία βοήθειας που επικοινωνούν με τους υπαλλήλους για να τους βοηθήσουν σε μια συνεχιζόμενη επίθεση ανεπιθύμητης αλληλογραφίας.
Το Black Basta είναι μια επιχείρηση ransomware που δραστηριοποιείται από τον Απρίλιο του 2022 και είναι υπεύθυνη για εκατοντάδες επιθέσεις εναντίον εταιρειών σε όλο τον κόσμο.
Μετά το κλείσιμο του συνδικάτου Conti για το έγκλημα στον κυβερνοχώρο τον Ιούνιο του 2022 μετά από μια σειρά από ενοχλητικές παραβιάσεις δεδομένων, η επιχείρηση χωρίστηκε σε πολλαπλές ομάδες, με μία από αυτές τις φατρίες να πιστεύεται ότι ήταν ο Black Basta.
Τα μέλη του Black Basta παραβιάζουν τα δίκτυα μέσω διαφόρων μεθόδων, συμπεριλαμβανομένων των τρωτών σημείων, της συνεργασίας με botnet κακόβουλου λογισμικού επιθυμίας και της κοινωνικής μηχανικής.
τον Μάιο, Rapid7 και ReliaQuest δημοσίευσε συμβουλές σχετικά με μια νέα καμπάνια κοινωνικής μηχανικής Black Basta που πλημμύρισε τα εισερχόμενα των στοχευμένων εργαζομένων με χιλιάδες email. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου δεν είχαν κακόβουλο χαρακτήρα, ως επί το πλείστον αποτελούνταν από ενημερωτικά δελτία, επιβεβαιώσεις εγγραφής και επαληθεύσεις email, αλλά γρήγορα κατέκλυσαν τα εισερχόμενα ενός χρήστη.
Οι ηθοποιοί της απειλής θα καλούσαν στη συνέχεια τον συγκλονισμένο υπάλληλο, παριστάνοντας το γραφείο υποστήριξης πληροφορικής της εταιρείας τους για να τους βοηθήσει με τα προβλήματα ανεπιθύμητης αλληλογραφίας.
Κατά τη διάρκεια αυτής της φωνητικής επίθεσης κοινωνικής μηχανικής, οι εισβολείς ξεγελούν το άτομο ώστε να εγκαταστήσει το εργαλείο απομακρυσμένης υποστήριξης AnyDesk ή να παρέχει απομακρυσμένη πρόσβαση στις συσκευές Windows εκκινώντας το εργαλείο τηλεχειρισμού και κοινής χρήσης οθόνης Windows Quick Assist.
Από εκεί, οι εισβολείς θα εκτελούσαν ένα σενάριο που εγκαθιστά διάφορα ωφέλιμα φορτία, όπως το ScreenConnect, το NetSupport Manager και το Cobalt Strike, τα οποία παρέχουν συνεχή απομακρυσμένη πρόσβαση στην εταιρική συσκευή του χρήστη.
Τώρα που η θυγατρική της Black Basta απέκτησε πρόσβαση στο εταιρικό δίκτυο, θα εξαπλωθεί πλευρικά σε άλλες συσκευές, αυξάνοντας τα προνόμια, κλέβοντας δεδομένα και τελικά αναπτύσσοντας τον κρυπτογράφηση ransomware.
Μετακίνηση στο Microsoft Teams
Σε μια νέα έκθεση της ReliaQuest, οι ερευνητές παρατήρησαν τις θυγατρικές της Black Basta να εξελίσσουν τις τακτικές τους τον Οκτώβριο χρησιμοποιώντας πλέον το Microsoft Teams.
Όπως και στην προηγούμενη επίθεση, οι πρωταγωνιστές απειλών κατακλύζουν πρώτα τα εισερχόμενα ενός υπαλλήλου με email.
Ωστόσο, αντί να τους καλέσουν, οι εισβολείς επικοινωνούν τώρα με τους υπαλλήλους μέσω του Microsoft Teams ως εξωτερικοί χρήστες, όπου υποδύονται το γραφείο βοήθειας της εταιρείας που επικοινωνεί με τον υπάλληλο για να τους βοηθήσει με το πρόβλημα ανεπιθύμητης αλληλογραφίας.
Οι λογαριασμοί δημιουργούνται στο Entra ID ενοικιαστές που ονομάζονται ότι φαίνεται να είναι γραφείο βοήθειας, όπως:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com «Αυτοί οι εξωτερικοί χρήστες ορίζουν τα προφίλ τους σε ένα «DisplayName» που έχει σχεδιαστεί για να κάνει τον στοχευόμενο χρήστη να πιστεύει ότι επικοινωνούσε με έναν λογαριασμό γραφείου βοήθειας», εξηγεί το νέο Αναφορά ReliaQuest.
“Σχεδόν σε όλες τις περιπτώσεις που έχουμε παρατηρήσει, το εμφανιζόμενο όνομα περιλάμβανε τη συμβολοσειρά “Help Desk”, που συχνά περιβάλλεται από χαρακτήρες κενού διαστήματος, που είναι πιθανό να κεντράρει το όνομα στη συνομιλία. Παρατηρήσαμε επίσης ότι, συνήθως, προστέθηκαν στοχευμένοι χρήστες σε μια συνομιλία “OneOnOne”.”
Η ReliaQuest λέει ότι έχουν δει επίσης τους παράγοντες απειλών να στέλνουν κωδικούς QR στις συνομιλίες, οι οποίοι οδηγούν σε τομείς όπως το qr-s1[.]com. Ωστόσο, δεν μπόρεσαν να προσδιορίσουν για ποιο σκοπό χρησιμοποιούνται αυτοί οι κωδικοί QR.
Οι ερευνητές λένε ότι οι εξωτερικοί χρήστες του Microsoft Teams προέρχονται από τη Ρωσία, με τα δεδομένα ζώνης ώρας να προέρχονται τακτικά από τη Μόσχα.
Ο στόχος είναι για άλλη μια φορά να ξεγελαστεί ο στόχος ώστε να εγκαταστήσει το AnyDesk ή να εκκινήσει το Quick Assist, ώστε οι φορείς απειλών να αποκτήσουν απομακρυσμένη πρόσβαση στις συσκευές τους.
Μόλις συνδεθούν, οι φορείς απειλών είδαν να εγκαθιστούν ωφέλιμα φορτία με τα ονόματα “AntispamAccount.exe”, “AntispamUpdate.exe” και “AntispamConnectUS.exe”.
Άλλοι ερευνητές έχουν επισημάνει το AntispamConnectUS.exe VirusTotal ως SystemBCένα κακόβουλο λογισμικό μεσολάβησης που χρησιμοποιούσε στο παρελθόν το Black Basta.
Τελικά, το Cobalt Strike εγκαθίσταται, παρέχοντας πλήρη πρόσβαση στην παραβιασμένη συσκευή για να λειτουργήσει ως εφαλτήριο για περαιτέρω ώθηση στο δίκτυο.
Η ReliaQuest προτείνει στους οργανισμούς να περιορίζουν την επικοινωνία από εξωτερικούς χρήστες στο Microsoft Teams και, εάν απαιτείται, να την επιτρέπουν μόνο από αξιόπιστους τομείς. Η καταγραφή θα πρέπει επίσης να είναι ενεργοποιημένη, ειδικά για το συμβάν ChatCreated, για την εύρεση ύποπτων συνομιλιών.
VIA: bleepingcomputer.com
