Black Basta использует Microsoft Teams для атак на корпоративные сети

Группировка Black Basta, известная своими рамсварными атаками, адаптировала свои методы социальной инженерии и начала использовать Microsoft Teams для взлома корпоративных сетей. Злоумышленники выдают себя за техническую поддержку компаний и предлагают помощь сотрудникам в решении проблем со спамом.

Сначала атакующие перегружают почтовый ящик сотрудника массой писем, что вызывает затруднения с обработкой электронной почты. Затем, вместо того чтобы звонить по телефону, как ранее, они связываются с жертвами через чат в Microsoft Teams. Они регистрируются как внешние пользователи и используют адреса, имитирующие службу поддержки, например, securityadminhelper.onmicrosoft[.]com.

В ходе общения через Teams мошенники пытаются убедить сотрудника установить удаленный доступ через AnyDesk или Quick Assist. После получения доступа к устройству, они устанавливают вредоносное ПО, включая программы под названиями AntispamAccount.exe и AntispamConnectUS.exe, последнее из которых известно как прокси-вредонос SystemBC, использовавшийся Black Basta в прошлых атаках.

Финальным этапом атаки является установка Cobalt Strike, что дает злоумышленникам полный контроль над зараженным устройством и возможность дальнейшего проникновения в корпоративную сеть.

Эксперты из ReliaQuest предлагают компаниям ограничить возможность коммуникации с внешними пользователями в Microsoft Teams или разрешать ее только для проверенных доменов. Также рекомендуется включить журналирование, особенно для событий создания чата, чтобы выявлять подозрительные общения.