Angriffe via Microsoft Teams – von Black Basta? 

B2B Cyber Security ShortNews

Beitrag teilen

Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit der Ransomware-Gruppe „Black Basta“ in Verbindung gebracht wird.

Der bisheriger Ansatz bestand darin, Benutzer mit E-Mail-Spam zu überhäufen und sie dazu zu bewegen, ein legitimes Helpdesk-Ticket zu erstellen, um das Problem zu lösen. Der Angreifer kontaktierte dann den Endbenutzer bzw. Mitarbeiter und gab sich als Helpdesk aus, um auf das Ticket zu antworten.

Anzeige

Teams-Angriffe via QR-Codes

Bei jüngeren Vorfällen haben Angreifer ihre Taktik verfeinert, indem sie Chatnachrichten von Microsoft Teams zur Kommunikation mit Zielbenutzern verwendeten und bösartige QR-Codes integrierten, um den Erstzugriff zu erleichtern. Die fiesen Social-Engineering-Techniken sollen Benutzer dazu zu bringen sich Tools für Remote-Überwachung und -Verwaltung (RMM) herunterzuladen. Damit können die Angreifer dann Zugriff auf die Zielumgebung erhalten. In Nachgang landet dann sehr wahrscheinlich Ransomware auf dem System.

Diese rasch eskalierende Kampagne stellt eine erhebliche Bedrohung für Organisationen dar. Die Bedrohungsgruppe zielt mit alarmierender Intensität auf viele verschiedenen Branchen und Regionen ab. Auch das schiere Aktivitätsvolumen ist einzigartig; bei einem einzigen Vorfall beobachteten die Experten, wie innerhalb von nur 50 Minuten etwa 1.000 E-Mails einen einzelnen Benutzer bombardierten. Aufgrund von Gemeinsamkeiten bei der Domänenerstellung und den Cobalt Strike-Konfigurationen vermutet man hinter dieser Aktivität mit hoher Wahrscheinlichkeit Black Basta.

Angreifer sind weiter Variable

Bei Vorfällen Ende Oktober 2024 konnten die Experten von ReliaQuest einige Änderungen in den Taktiken, Techniken und Verfahren (TTPs) von Black Basta beobachten:

  • Nach Massen-E-Mail-Spam-Ereignissen wurden die Zielbenutzer zu Microsoft Teams-Chats mit externen Benutzern hinzugefügt. Diese externen Benutzer operierten von Entra ID-Tenants aus, die sie erstellt hatten, um sich als Support-, Administrator- oder Helpdesk-Mitarbeiter auszugeben.
  • Bei jüngsten Vorfällen wurde beobachtet, wie die Bedrohungsakteure die Zielbenutzer dazu verleiteten, für die „Support“-Sitzungen nicht nur AnyDesk, sondern QuickAssist zu verwenden. Darüber hinaus wurden den Zielbenutzern in diesen Chats QR-Codes gesendet, die sich als legitime QR-Code-Bilder von Unternehmen ausgaben.
Mehr bei ReliaQuest.com

 


Über ReliaQuest 

ReliaQuest ist da, um Sicherheit möglich zu machen. Es ermöglicht Sicherheitsteams, Bedrohungen innerhalb von Minuten zu erkennen, einzudämmen und darauf zu reagieren – jederzeit und überall. Unsere GreyMatter-Plattform ermöglicht es Sicherheitsteams in Unternehmen, ihren aktuellen oder zukünftigen Technologie-Stack zu nutzen, um mehr Transparenz und Automatisierung zu erreichen, ohne dass Daten zentralisiert oder Tools standardisiert werden müssen.


 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen