Black Basta团伙的附属成员近期在攻击中使用了微软Teams

ReliaQuest研究人员警告称，Black Basta勒索软件团伙的附属成员转而使用微软Teams，假扮IT支持以欺骗员工授予访问权限。BlackBasta勒索软件操作者被发现假扮公司帮助台，联系员工帮助他们减轻正在进行的垃圾邮件攻击。威胁行为者淹没员工的收件箱，然后在微软Teams上冒充IT支持，提供“帮助”解决垃圾邮件问题。

ReliaQuest发布的报告中写道：“他们之前的方法是用垃圾邮件淹没用户，促使他们创建合法的帮助台工单来解决问题。攻击者然后联系最终用户，假扮帮助台，回应工单。”“在最近的事件中，攻击者提升了他们的策略，使用微软Teams聊天消息与目标用户沟通，并使用恶意QR码来促进初步访问。”

威胁行为者试图欺骗用户下载远程监控和管理（RMM）工具，如AnyDesk，一旦获得初步访问权限，就会在目标环境中部署勒索软件。研究人员指出，发送给潜在受害者的消息数量非常大；在一个案例中，他们观察到在50分钟内向单个用户发送了约1000封电子邮件。

攻击者将目标用户添加到微软Teams聊天中，与外部用户进行交流。这些外部用户使用Entra ID租户进行操作，他们使用命名约定假扮支持、管理员或帮助台人员。以下是攻击者使用的一些租户：

• cybersecurityadmin.onmicrosoft.com

• securityadminhelper.onmicrosoft.com

• supportserviceadmin.onmicrosoft.com

• supportadministrator.onmicrosoft.com

报告继续写道：“这些外部用户将他们的个人资料设置为一个‘DisplayName’，旨在让目标用户认为他们在与帮助台账户交流。”“在我们观察到的几乎所有案例中，显示名称包含字符串‘Help Desk’，通常周围有空白字符，这可能会在聊天中居中显示名称。我们还观察到，通常目标用户被添加到‘OneOnOne’聊天中。”

威胁行为者还在聊天中发送QR码，作为Quishing尝试的一部分。专家们非常有信心地将攻击归因于Black Basta，因为它们在域创建和Cobalt Strike配置上有共同点。专家们观察到，外部用户的操作通常来自俄罗斯，时区为莫斯科时间。

获得访问权限后，攻击者部署恶意文件，包括代理恶意软件和Cobalt Strike，以深入网络渗透。专家建议限制外部微软Teams通信，并记录可疑的聊天活动以提高安全性。

报告总结道：“这次活动仍在发展，Black Basta展示了他们快速适应TTP的能力，可能是为了挫败防御者，并为自己赢得更多时间进一步攻击。”“虽然他们的初始访问方法已经改变，但他们的后期攻击活动可能会保持与之前观察到的模式一致，这些模式已被现有的安全工具和检测规则覆盖。”

原文始发于微信公众号（黑猫安全）：Black Basta团伙的附属成员近期在攻击中使用了微软Teams