Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit der Ransomware-Gruppe „Black Basta“ in Verbindung gebracht wird.
Der bisheriger Ansatz bestand darin, Benutzer mit E-Mail-Spam zu überhäufen und sie dazu zu bewegen, ein legitimes Helpdesk-Ticket zu erstellen, um das Problem zu lösen. Der Angreifer kontaktierte dann den Endbenutzer bzw. Mitarbeiter und gab sich als Helpdesk aus, um auf das Ticket zu antworten.
Teams-Angriffe via QR-Codes
Bei jüngeren Vorfällen haben Angreifer ihre Taktik verfeinert, indem sie Chatnachrichten von Microsoft Teams zur Kommunikation mit Zielbenutzern verwendeten und bösartige QR-Codes integrierten, um den Erstzugriff zu erleichtern. Die fiesen Social-Engineering-Techniken sollen Benutzer dazu zu bringen sich Tools für Remote-Überwachung und -Verwaltung (RMM) herunterzuladen. Damit können die Angreifer dann Zugriff auf die Zielumgebung erhalten. In Nachgang landet dann sehr wahrscheinlich Ransomware auf dem System.
Diese rasch eskalierende Kampagne stellt eine erhebliche Bedrohung für Organisationen dar. Die Bedrohungsgruppe zielt mit alarmierender Intensität auf viele verschiedenen Branchen und Regionen ab. Auch das schiere Aktivitätsvolumen ist einzigartig; bei einem einzigen Vorfall beobachteten die Experten, wie innerhalb von nur 50 Minuten etwa 1.000 E-Mails einen einzelnen Benutzer bombardierten. Aufgrund von Gemeinsamkeiten bei der Domänenerstellung und den Cobalt Strike-Konfigurationen vermutet man hinter dieser Aktivität mit hoher Wahrscheinlichkeit Black Basta.
Angreifer sind weiter Variable
Bei Vorfällen Ende Oktober 2024 konnten die Experten von ReliaQuest einige Änderungen in den Taktiken, Techniken und Verfahren (TTPs) von Black Basta beobachten:
- Nach Massen-E-Mail-Spam-Ereignissen wurden die Zielbenutzer zu Microsoft Teams-Chats mit externen Benutzern hinzugefügt. Diese externen Benutzer operierten von Entra ID-Tenants aus, die sie erstellt hatten, um sich als Support-, Administrator- oder Helpdesk-Mitarbeiter auszugeben.
- Bei jüngsten Vorfällen wurde beobachtet, wie die Bedrohungsakteure die Zielbenutzer dazu verleiteten, für die „Support“-Sitzungen nicht nur AnyDesk, sondern QuickAssist zu verwenden. Darüber hinaus wurden den Zielbenutzern in diesen Chats QR-Codes gesendet, die sich als legitime QR-Code-Bilder von Unternehmen ausgaben.
Über ReliaQuest
ReliaQuest ist da, um Sicherheit möglich zu machen. Es ermöglicht Sicherheitsteams, Bedrohungen innerhalb von Minuten zu erkennen, einzudämmen und darauf zu reagieren – jederzeit und überall. Unsere GreyMatter-Plattform ermöglicht es Sicherheitsteams in Unternehmen, ihren aktuellen oder zukünftigen Technologie-Stack zu nutzen, um mehr Transparenz und Automatisierung zu erreichen, ohne dass Daten zentralisiert oder Tools standardisiert werden müssen.