Angriffe via Microsoft Teams – von Black Basta? 

B2B Cyber Security ShortNews

Beitrag teilen

Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit der Ransomware-Gruppe „Black Basta“ in Verbindung gebracht wird.

Der bisheriger Ansatz bestand darin, Benutzer mit E-Mail-Spam zu überhäufen und sie dazu zu bewegen, ein legitimes Helpdesk-Ticket zu erstellen, um das Problem zu lösen. Der Angreifer kontaktierte dann den Endbenutzer bzw. Mitarbeiter und gab sich als Helpdesk aus, um auf das Ticket zu antworten.

Anzeige

Teams-Angriffe via QR-Codes

Bei jüngeren Vorfällen haben Angreifer ihre Taktik verfeinert, indem sie Chatnachrichten von Microsoft Teams zur Kommunikation mit Zielbenutzern verwendeten und bösartige QR-Codes integrierten, um den Erstzugriff zu erleichtern. Die fiesen Social-Engineering-Techniken sollen Benutzer dazu zu bringen sich Tools für Remote-Überwachung und -Verwaltung (RMM) herunterzuladen. Damit können die Angreifer dann Zugriff auf die Zielumgebung erhalten. In Nachgang landet dann sehr wahrscheinlich Ransomware auf dem System.

Diese rasch eskalierende Kampagne stellt eine erhebliche Bedrohung für Organisationen dar. Die Bedrohungsgruppe zielt mit alarmierender Intensität auf viele verschiedenen Branchen und Regionen ab. Auch das schiere Aktivitätsvolumen ist einzigartig; bei einem einzigen Vorfall beobachteten die Experten, wie innerhalb von nur 50 Minuten etwa 1.000 E-Mails einen einzelnen Benutzer bombardierten. Aufgrund von Gemeinsamkeiten bei der Domänenerstellung und den Cobalt Strike-Konfigurationen vermutet man hinter dieser Aktivität mit hoher Wahrscheinlichkeit Black Basta.

Angreifer sind weiter Variable

Bei Vorfällen Ende Oktober 2024 konnten die Experten von ReliaQuest einige Änderungen in den Taktiken, Techniken und Verfahren (TTPs) von Black Basta beobachten:

  • Nach Massen-E-Mail-Spam-Ereignissen wurden die Zielbenutzer zu Microsoft Teams-Chats mit externen Benutzern hinzugefügt. Diese externen Benutzer operierten von Entra ID-Tenants aus, die sie erstellt hatten, um sich als Support-, Administrator- oder Helpdesk-Mitarbeiter auszugeben.
  • Bei jüngsten Vorfällen wurde beobachtet, wie die Bedrohungsakteure die Zielbenutzer dazu verleiteten, für die „Support“-Sitzungen nicht nur AnyDesk, sondern QuickAssist zu verwenden. Darüber hinaus wurden den Zielbenutzern in diesen Chats QR-Codes gesendet, die sich als legitime QR-Code-Bilder von Unternehmen ausgaben.
Mehr bei ReliaQuest.com

 


Über ReliaQuest 

ReliaQuest ist da, um Sicherheit möglich zu machen. Es ermöglicht Sicherheitsteams, Bedrohungen innerhalb von Minuten zu erkennen, einzudämmen und darauf zu reagieren – jederzeit und überall. Unsere GreyMatter-Plattform ermöglicht es Sicherheitsteams in Unternehmen, ihren aktuellen oder zukünftigen Technologie-Stack zu nutzen, um mehr Transparenz und Automatisierung zu erreichen, ohne dass Daten zentralisiert oder Tools standardisiert werden müssen.


 

Passende Artikel zum Thema

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen

Cyberangriff auf Bundeswehr-Universität

Die Universität der Bundeswehr München ist zum Ziel einer Cyberattacke geworden. Bei dem Vorfall sind potenziell zahlreiche Datensätze von Studenten ➡ Weiterlesen

Datenleck bei der Online-Wett-Plattform 1win

Die Online-Wett-Plattform 1win erlebte im November einen Angriff, bei dem Daten von rund 96 Millionen Nutzern in die Hände der ➡ Weiterlesen

Missbrauch von Open-Source-Software wie DeepSeek

Kaum online haben es Cyberkriminelle bereits auf das neue KI-Startup DeepSeek abgesehen. Bisher hat DeepSeek keine konkreten Details zu aktuellen ➡ Weiterlesen

Risiko? – 32 Millionen Windows-10-Computer in Deutschland

In Deutschland arbeiten immer noch rund 32 Millionen Computer mit Windows 10 als Betriebssystem – sehr viele davon auch in ➡ Weiterlesen

Sicherheitslücke in AWS ermöglichte Angriff auf Amazon-Cloud-Instanzen

Amazon Web Services (AWS) ist für viele Unternehmen das Rückgrat ihrer digitalen Infrastruktur. Doch eine Entdeckung von Datadog zeigte: Eine ➡ Weiterlesen