การโจมตีของกลุ่มผู้ไม่ประสงค์ดีทำการใช้ Ransomware BlackBasta ได้เปลี่ยนรูปแบบการโจมตีโดยใช้ Microsoft Teams โดยปลอมตัวเป็นฝ่ายช่วยเหลือของบริษัทที่ติดต่อพนักงานเพื่อช่วยเหลือเกี่ยวกับการโจมตีด้วยสแปมที่กำลังดำเนินอยู่
Black Basta เป็นกลุ่มมัลแวร์เรียกค่าไถ่ที่เปิดดำเนินการตั้งแต่เดือนเมษายน 2022 และมีส่วนรับผิดชอบต่อการโจมตีหลายร้อยครั้งทั่วโลก
หลังจากที่กลุ่มอาชญากรรมไซเบอร์ Conti ถูกปิดตัวลงในเดือนมิถุนายน 2022 เนื่องจากการรั่วไหลข้อมูลที่น่าอับอาย กลุ่มนี้ได้แยกตัวออกเป็นหลายกลุ่ม โดยหนึ่งในกลุ่มเหล่านั้นเชื่อว่าเป็น Black Basta
สมาชิกของ Black Basta บุกรุกเครือข่ายผ่านวิธีการต่างๆ รวมถึงการใช้ช่องโหว่ การร่วมมือกับบ็อตเน็ตที่เป็นมัลแวร์ และการหลอกลวงทางสังคม
ในเดือนพฤษภาคม Rapid7 และ ReliaQuest ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญการหลอกลวงทางสังคมใหม่ของ Black Basta ซึ่งส่งอีเมลไปยังพนักงานที่ถูกเป้าหมายมากมาย ซึ่งมีจำนวนถึงพันฉบับ อีเมลเหล่านี้ไม่ใช่อีเมลที่เป็นอันตราย ส่วนใหญ่ประกอบด้วยจดหมายข่าว การยืนยันการลงทะเบียน และการตรวจสอบอีเมล แต่ทำให้กล่องจดหมายของผู้ใช้เต็มอย่างรวดเร็ว
จากนั้น ผู้โจมตีจะโทรหาพนักงานที่รู้สึกท่วมท้น โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทเพื่อช่วยพวกเขาในปัญหาสแปม
ในระหว่างการโจมตีทางการพูดนี้ ผู้โจมตีจะหลอกลวงบุคคลนั้นให้ติดตั้งเครื่องมือสนับสนุนระยะไกล AnyDesk หรือให้การเข้าถึงระยะไกลกับอุปกรณ์ Windows ของพวกเขาโดยการเปิดใช้งานเครื่องมือควบคุมระยะไกลและแชร์หน้าจอ Windows Quick Assist
จากนั้น ผู้โจมตีจะเรียกใช้สคริปต์ที่ติดตั้งเพย์โหลดต่างๆ เช่น ScreenConnect, NetSupport Manager และ Cobalt Strike ซึ่งให้การเข้าถึงระยะยาวต่ออุปกรณ์ของบริษัทของผู้ใช้
เมื่อ Black Basta ได้เข้าถึงเครือข่ายของบริษัทแล้ว พวกเขาจะแพร่กระจายไปยังอุปกรณ์อื่นๆ ในขณะที่ยกระดับสิทธิ์ ขโมยข้อมูล และท้ายที่สุดจะทำการติดตั้งตัวเข้ารหัสมัลแวร์เรียกค่าไถ่
ในรายงานใหม่โดย ReliaQuest นักวิจัยสังเกตเห็นว่าผู้เกี่ยวข้องกับ Black Basta กำลังพัฒนากลยุทธ์ของตนในเดือนตุลาคมโดยเริ่มใช้ Microsoft Teams
เช่นเดียวกับการโจมตีครั้งก่อน ผู้โจมตีจะเริ่มต้นด้วยการทำให้กล่องจดหมายของพนักงานเต็มไปด้วยอีเมล
อย่างไรก็ตาม แทนที่จะโทรหาพวกเขา ผู้โจมตีจะติดต่อพนักงานผ่าน Microsoft Teams ในฐานะผู้ใช้ภายนอก โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทที่ติดต่อพนักงานเพื่อช่วยแก้ปัญหาสแปมของพวกเขา
บัญชีเหล่านี้ถูกสร้างขึ้นภายใต้ Entra ID tenants ที่มีชื่อให้ดูเหมือนเป็นฝ่ายช่วยเหลือ เช่น:
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
- cybersecurityadmin.onmicrosoft[.]com
ผู้ใช้ภายนอกเหล่านี้ตั้งค่าชื่อโปรไฟล์ของตนเป็น 'DisplayName' ที่ออกแบบมาให้ผู้ใช้เป้าหมายคิดว่าพวกเขากำลังสื่อสารกับบัญชีฝ่ายช่วยเหลือ" รายงานใหม่จาก ReliaQuest อธิบาย
"ในเกือบทุกกรณีที่เราได้สังเกต ผู้แสดงชื่อจะรวมถึงสตริง 'Help Desk' ซึ่งมักจะมีอักขระเว้นว่างล้อมรอบ ซึ่งอาจทำให้ชื่ออยู่ตรงกลางในแชท นอกจากนี้ เรายังสังเกตเห็นว่ามักจะมีการเพิ่มผู้ใช้เป้าหมายไปยังแชท 'OneOnOne'"
ReliaQuest กล่าวว่า พวกเขายังเห็นผู้โจมตีส่ง QR โค้ดในแชท ซึ่งนำไปยังโดเมนอย่าง qr-s1[.]com อย่างไรก็ตาม พวกเขาไม่สามารถระบุได้ว่า QR โค้ดเหล่านี้ใช้ทำอะไร
ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าผู้ใช้ Microsoft Teams ภายนอกมาจากรัสเซีย โดยข้อมูลเขตเวลามักจะมาจากมอสโก
เป้าหมายคือการหลอกลวงเป้าหมายให้ติดตั้ง AnyDesk หรือเปิดใช้งาน Quick Assist เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ของพวกเขาได้ทางระยะไกล
เมื่อเชื่อมต่อแล้ว ผู้โจมตีได้ติดตั้งเพย์โหลดที่ชื่อว่า "AntispamAccount.exe," "AntispamUpdate.exe," และ "AntispamConnectUS.exe"
ผู้เชี่ยวชาญด้านความปลอดภัยคนอื่นๆ ได้ตั้งสัญญาณเตือนเกี่ยวกับ AntispamConnectUS.exe ใน VirusTotal ว่าเป็น SystemBC ซึ่งเป็นมัลแวร์พร็อกซีที่ Black Basta ใช้ในอดีต
สุดท้าย Cobalt Strike จะถูกติดตั้ง ซึ่งให้การเข้าถึงเต็มรูปแบบไปยังอุปกรณ์ที่ถูกบุกรุกเพื่อทำหน้าที่เป็นจุดกระโดดในการเจาะเข้าไปในเครือข่าย
ReliaQuest แนะนำให้องค์กรจำกัดการสื่อสารจากผู้ใช้ภายนอกใน Microsoft Teams และหากจำเป็น ให้อนุญาตเฉพาะจากโดเมนที่เชื่อถือได้เท่านั้น ควรเปิดใช้งานการบันทึกด้วย โดยเฉพาะสำหรับเหตุการณ์ ChatCreated เพื่อค้นหาการแชทที่น่าสงสัย
Ref : bleepingcomputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น