今年勒索软体骇客Black Basta的动作频频,其中发生在今年5月的首先,发动大规模垃圾邮件攻击后,上钩的使用者就会被引至与特定微软Teams用户交谈,攻击者通常会透过貌似微软技术支援人员、管理者、服务台成员的Entra ID帐号登入微软Teams,而且在Teams用户身分显示沿用这些名称,使一般人误以为他们是微软的这些工作人员,而且,骇客通常会将帐号的显示名称设置为含有Help Desk的字串,聊天室的名称多半是OneOnOne。
研究人员指出,攻击者主要来自俄罗斯,根据Teams的事件记录的时区资料,他们大多位于莫斯科。
Teams群组里面会发生什么事?对方试图引诱目标用户使用QuickAssist寻求支援,但也有使用AnyDesk的情况,此外,骇客会在Teams对话提供伪造合法品牌的QR Code条码,但这些条码的用途目前仍不清楚。研究人员推测,攻击者有意借此引诱使用者存取恶意基础设施。
假如使用者照做,攻击者就有机会借由上述的远端管理工具(RMM)控制受害电脑,并植入AntispamAccount.exe、AntispamUpdate.exe、AntispamConnectUS.exe等有效酬载,最终部署渗透测试工具Cobalt Strike,以便将受害电脑当作存取企业内部网路环境的跳板。