„BlackBasta“ išpirkos reikalaujančios programos operacija perkėlė savo socialinės inžinerijos atakas į „Microsoft Teams“, prisistačiusi kaip įmonių pagalbos tarnybos, susisiekiančios su darbuotojais, kad padėtų jiems vykstant šlamšto atakai.
„Black Basta“ yra išpirkos reikalaujanti programa, veikianti nuo 2022 m. balandžio mėn. ir atsakinga už šimtus išpuolių prieš korporacijas visame pasaulyje.
Po to, kai 2022 m. birželio mėn. po daugybės gėdingų duomenų pažeidimų buvo uždarytas „Conti“ kibernetinių nusikaltimų sindikatas, operacija suskilo į kelias grupes, ir manoma, kad viena iš šių grupuočių buvo „Black Basta“.
„Black Basta“ nariai pažeidžia tinklus įvairiais būdais, įskaitant pažeidžiamumą, partnerių norų kenkėjiškų programų botnetus ir socialinę inžineriją.
Gegužės mėnesį „Rapid7“ ir „ReliaQuest“ išleido patarimus dėl naujos „Black Basta“ socialinės inžinerijos kampanijos, kuri užtvindė tikslinių darbuotojų pašto dėžutes tūkstančiais el. laiškų. Šie el. laiškai nebuvo kenkėjiško pobūdžio, dažniausiai juos sudarė naujienlaiškiai, registracijos patvirtinimai ir el. pašto patvirtinimai, tačiau jie greitai užvaldė vartotojo gautuosius.
Tada grėsmės veikėjai skambindavo priblokštam darbuotojui, apsimesdami savo įmonės IT pagalbos tarnyba, kad padėtų jiems išspręsti nepageidaujamo pašto problemas.
Šios balso socialinės inžinerijos atakos metu užpuolikai apgaudinėja asmenį, kad jis įdiegtų „AnyDesk“ nuotolinio palaikymo įrankį arba suteiktų nuotolinę prieigą prie „Windows“ įrenginių, paleisdami „Windows Quick Assist“ nuotolinio valdymo ir ekrano bendrinimo įrankį.
Iš ten užpuolikai paleis scenarijų, kuris įdiegia įvairias naudingąsias apkrovas, tokias kaip „ScreenConnect“, „NetSupport Manager“ ir „Cobalt Strike“, kurios suteikia nuolatinę nuotolinę prieigą prie vartotojo įmonės įrenginio.
Dabar, kai „Black Basta“ filialas gavo prieigą prie įmonės tinklo, jie išplis iš šono į kitus įrenginius, padidindami privilegijas, vogdami duomenis ir galiausiai įdiegdami išpirkos reikalaujančių programų šifruotoją.
Perėjimas prie „Microsoft Teams“.
Naujoje „ReliaQuest“ ataskaitoje mokslininkai pastebėjo, kad „Black Basta“ filialai spalį keitė savo taktiką, dabar naudodami „Microsoft Teams“.
Kaip ir ankstesnė ataka, grėsmės veikėjai pirmiausia užlieja darbuotojo pašto dėžutę el.
Tačiau užuot jiems paskambinę, užpuolikai dabar susisiekia su darbuotojais per „Microsoft Teams“ kaip išorinius naudotojus, kur jie apsimeta įmonės IT pagalbos tarnyba ir susisiekia su darbuotoju, kad padėtų jiems išspręsti šlamšto problemą.
Paskyros sukuriamos naudojant „Entra ID“ nuomininkus, kurie įvardijami kaip pagalbos tarnyba, pvz.:
securityadminhelper.onmicrosoft(.)com
supportserviceadmin.onmicrosoft(.)com
supportadministrator.onmicrosoft(.)com
cybersecurityadmin.onmicrosoft(.)com
„Šie išoriniai naudotojai nustatė savo profilius į „DisplayName“, skirtą tam, kad tikslinis vartotojas manytų, kad jie bendrauja su pagalbos tarnybos paskyra“, – aiškinama naujoje „ReliaQuest“ ataskaitoje.
„Beveik visais atvejais, kuriuos stebėjome, rodomas pavadinimas buvo įtrauktas į eilutę „Help Desk”, dažnai apsupta tarpų simbolių, kurie greičiausiai nukreipia pavadinimą pokalbio centre. Taip pat pastebėjome, kad paprastai tiksliniai vartotojai buvo įtraukiami į „OneOnOne“ pokalbis“.
„ReliaQuest“ teigia, kad jie taip pat matė, kaip grėsmės veikėjai pokalbiuose siunčia QR kodus, kurie veda į domenus, tokius kaip qr-s1(.)com. Tačiau jie negalėjo nustatyti, kam naudojami šie QR kodai.
Tyrėjai teigia, kad išoriniai „Microsoft Teams“ vartotojai yra kilę iš Rusijos, o laiko juostos duomenys reguliariai gaunami iš Maskvos.
Tikslas yra dar kartą apgauti taikinį ir įdiegti „AnyDesk“ arba paleisti „Quick Assist“, kad grėsmės veikėjai galėtų nuotoliniu būdu pasiekti savo įrenginius.
Prisijungę buvo pastebėti, kad grėsmės veikėjai įdiegia naudingąsias apkrovas, pavadintas „AntispamAccount.exe“, „AntispamUpdate.exe“ ir „AntispamConnectUS.exe“.
Kiti tyrėjai pažymėjo AntispamConnectUS.exe programoje „VirusTotal“ kaip SystemBC, tarpinio serverio kenkėjišką programą, kurią anksčiau naudojo „Black Basta“.
Galiausiai įdiegta „Cobalt Strike“, suteikianti visišką prieigą prie pažeisto įrenginio, kuris veiktų kaip tramplinas, siekiant toliau veržtis į tinklą.
„ReliaQuest“ siūlo organizacijoms apriboti ryšį su išoriniais „Microsoft Teams“ naudotojais ir, jei reikia, leisti jį tik iš patikimų domenų. Taip pat turėtų būti įjungtas registravimas, ypač „ChatCreated“ įvykiui, kad būtų galima rasti įtartinų pokalbių.