今年勒索软件黑客Black Basta的动作频频,其中发生在今年5月的美国大型医疗看护系统Ascension事故最为受到关注,美国网络安全暨基础设施安全局(CISA)与联邦调查局(FBI)当时特别提出警告,如今这群黑客也结合社交工程手法,引诱用户上当,从而入侵企业组织的内部网络环境从事后续攻击行动。
安全企业ReliaQuest指出,他们在10月下旬看到黑客使用的战术、手段、流程(TTP)出现显著的变化。
首先,发动大规模垃圾邮件攻击后,上钩的用户就会被引至与特定微软Teams用户交谈,攻击者通常会通过貌似微软技术支持人员、管理者、服务台成员的Entra ID账号登录微软Teams,而且在Teams用户身份显示沿用这些名称,使一般人误以为他们是微软的这些工作人员,而且,黑客通常会将账号的显示名称设置为含有Help Desk的字符串,聊天室的名称多半是OneOnOne。
研究人员指出,攻击者主要来自俄罗斯,根据Teams的事件记录的时区数据,他们大多位于莫斯科。
Teams群组里面会发生什么事?对方试图引诱目标用户使用QuickAssist寻求支持,但也有使用AnyDesk的情况,此外,黑客会在Teams对话提供伪造合法品牌的QR Code条码,但这些条码的用途目前仍不清楚。研究人员推测,攻击者有意借此引诱用户访问恶意基础设施。
假如用户照做,攻击者就有机会借由上述的远程管理工具(RMM)控制受害计算机,并植入AntispamAccount.exe、AntispamUpdate.exe、AntispamConnectUS.exe等有效酬载,最终部署渗透测试工具Cobalt Strike,以便将受害计算机当作访问企业内部网络环境的跳板。
