Black Basta勒索软件冒充Microsoft Teams IT支持人员入侵网络

2024年10月25日，据报道：Black Basta勒索软件团伙近期通过Microsoft Teams开展社会工程攻击，假扮公司IT帮助台联系员工，以协助解决垃圾邮件问题为由实施攻击。

该团伙自2022年4月活跃以来，已对全球数百家企业发动攻击。最近的攻击中，攻击者通过Microsoft Teams作为外部用户联系员工，冒充公司IT支持，协助处理垃圾邮件问题。他们创建的账户使用类似于“帮助台”的Entra ID租户，诱导目标用户安装AnyDesk或启动Windows Quick Assist工具，以获得设备远程访问权限。

一旦获得访问权限，攻击者会安装“AntispamAccount.exe”等有效负载，最终部署Cobalt Strike以全面控制受害者设备，进一步侵入网络。研究人员建议企业限制Microsoft Teams中外部用户的通信权限，启用日志记录以检测可疑聊天活动。该攻击背后的黑客被认为来自俄罗斯，进一步显示了对企业网络安全的严重威胁。

BlackBasta是一个勒索软件组织，自2022年4月起活跃，并对全球数百起企业攻击负责。2022年6月，在发生一系列令人尴尬的数据泄露事件后，Conti网络犯罪集团被关闭，之后该组织分裂为多个团体，其中一个派系被认为是BlackBasta。BlackBasta成员通过各种方法破坏网络，包括漏洞、合作、恶意软件、僵尸网络和社会工程学。

原文始发于微信公众号（安全学习那些事儿）：Black Basta勒索软件冒充Microsoft Teams IT支持人员入侵网络