Angriffe via Microsoft Teams – von Black Basta? 

B2B Cyber Security ShortNews

Beitrag teilen

Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit der Ransomware-Gruppe „Black Basta“ in Verbindung gebracht wird.

Der bisheriger Ansatz bestand darin, Benutzer mit E-Mail-Spam zu überhäufen und sie dazu zu bewegen, ein legitimes Helpdesk-Ticket zu erstellen, um das Problem zu lösen. Der Angreifer kontaktierte dann den Endbenutzer bzw. Mitarbeiter und gab sich als Helpdesk aus, um auf das Ticket zu antworten.

Anzeige

Teams-Angriffe via QR-Codes

Bei jüngeren Vorfällen haben Angreifer ihre Taktik verfeinert, indem sie Chatnachrichten von Microsoft Teams zur Kommunikation mit Zielbenutzern verwendeten und bösartige QR-Codes integrierten, um den Erstzugriff zu erleichtern. Die fiesen Social-Engineering-Techniken sollen Benutzer dazu zu bringen sich Tools für Remote-Überwachung und -Verwaltung (RMM) herunterzuladen. Damit können die Angreifer dann Zugriff auf die Zielumgebung erhalten. In Nachgang landet dann sehr wahrscheinlich Ransomware auf dem System.

Diese rasch eskalierende Kampagne stellt eine erhebliche Bedrohung für Organisationen dar. Die Bedrohungsgruppe zielt mit alarmierender Intensität auf viele verschiedenen Branchen und Regionen ab. Auch das schiere Aktivitätsvolumen ist einzigartig; bei einem einzigen Vorfall beobachteten die Experten, wie innerhalb von nur 50 Minuten etwa 1.000 E-Mails einen einzelnen Benutzer bombardierten. Aufgrund von Gemeinsamkeiten bei der Domänenerstellung und den Cobalt Strike-Konfigurationen vermutet man hinter dieser Aktivität mit hoher Wahrscheinlichkeit Black Basta.

Angreifer sind weiter Variable

Bei Vorfällen Ende Oktober 2024 konnten die Experten von ReliaQuest einige Änderungen in den Taktiken, Techniken und Verfahren (TTPs) von Black Basta beobachten:

  • Nach Massen-E-Mail-Spam-Ereignissen wurden die Zielbenutzer zu Microsoft Teams-Chats mit externen Benutzern hinzugefügt. Diese externen Benutzer operierten von Entra ID-Tenants aus, die sie erstellt hatten, um sich als Support-, Administrator- oder Helpdesk-Mitarbeiter auszugeben.
  • Bei jüngsten Vorfällen wurde beobachtet, wie die Bedrohungsakteure die Zielbenutzer dazu verleiteten, für die „Support“-Sitzungen nicht nur AnyDesk, sondern QuickAssist zu verwenden. Darüber hinaus wurden den Zielbenutzern in diesen Chats QR-Codes gesendet, die sich als legitime QR-Code-Bilder von Unternehmen ausgaben.
Mehr bei ReliaQuest.com

 


Über ReliaQuest 

ReliaQuest ist da, um Sicherheit möglich zu machen. Es ermöglicht Sicherheitsteams, Bedrohungen innerhalb von Minuten zu erkennen, einzudämmen und darauf zu reagieren – jederzeit und überall. Unsere GreyMatter-Plattform ermöglicht es Sicherheitsteams in Unternehmen, ihren aktuellen oder zukünftigen Technologie-Stack zu nutzen, um mehr Transparenz und Automatisierung zu erreichen, ohne dass Daten zentralisiert oder Tools standardisiert werden müssen.


 

Passende Artikel zum Thema

Angriffe via Microsoft Teams – von Black Basta? 

Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit ➡ Weiterlesen

Microsoft SharePoint Schwachstelle erlaubt Remotecode

Die oberste amerikanische Cyberschutzbehörde CISA hat ihren Katalog bekannter ausgenutzter Schwachstellen um eine neue Schwachstelle ergänzt: Microsoft SharePoint lässt die ➡ Weiterlesen

Datensicherheit durch KI bedroht

Weltweit sind Verbraucher  besorgt über die Menge an Daten, die Unternehmen über sie sammeln, den Umgang damit und sehen auch ➡ Weiterlesen

Stärkerer Schutz für PCs mit ARM-Architektur

ARM-Architektur wird zunehmend in einer Vielzahl von Geräten – von PCs bis hin zu Cloud-Servern – genutzt. Deshalb ist es ➡ Weiterlesen

Open Source – Risiko für die IT-Sicherheit?

Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert. Die Vorteile wie Kosteneinsparungen, Flexibilität und das enorme ➡ Weiterlesen

Datenschutz durch Verschlüsslung von HR-Daten

Aktuelle Studien zeigen, dass rund 60 Prozent der deutschen Unternehmen von Cyberkriminellen angegriffen werden. Das ist vor allem für Personendaten, ➡ Weiterlesen

Wenn Bewerber in Wahrheit Nordkorea dienen

Ein Anbieter für Sicherheitsschulungen und Phishing-Simulationen warnt vor einem Einstellungsbetrug mit falschen Mitarbeitern die in Wahrheit aus Nordkorea kommen und ➡ Weiterlesen

APT42: WhatsApp-Angriffe auf politische Persönlichkeiten

Vor kurzem wurden neue Erkenntnisse über gezielte Spear-Phishing-Angriffe auf WhatsApp-Nutzer veröffentlicht. Diese Angriffe werden auf die iranische Gruppe APT42 zurückgeführt, ➡ Weiterlesen