De BlackBasta-ransomware-operatie heeft zijn social engineering-aanvallen verplaatst naar Microsoft Teams, waarbij ze zich voordoen als interne helpdesks die contact opnemen met werknemers om hen te helpen met een lopende spamaanval.

Black Basta is een ransomware-operatie die actief is sinds april 2022 en verantwoordelijk is voor honderden aanvallen op bedrijven wereldwijd.

Nadat het Conti-cybercrimesyndicaat in juni 2022 werd stopgezet na een reeks gênante datalekken, splitste de operatie zich op in meerdere groepen, waarvan wordt aangenomen dat een van deze facties Black Basta is.

Black Basta-leden breken netwerken binnen via verschillende methoden, waaronder kwetsbaarheden, samenwerking met malware-botnets en social engineering.

In mei hebben Rapid7 en ReliaQuest waarschuwingen uitgebracht over een nieuwe Black Basta-social engineering-campagne die de inboxen van gerichte werknemers overspoelde met duizenden e-mails. Deze e-mails waren niet kwaadaardig van aard, maar bestonden meestal uit nieuwsbrieven, bevestigingen van aanmeldingen en verificaties van e-mail, waardoor ze de inbox van een gebruiker snel overweldigden.

De aanvallers zouden vervolgens de overweldigde werknemer bellen en zich voordoen als de IT-helpdesk van hun bedrijf om hen te helpen met hun spamproblemen.

Tijdens deze social engineering-aanval via stem, misleiden de aanvallers de persoon om de AnyDesk-tool voor externe ondersteuning te installeren of om op afstand toegang te geven tot hun Windows-apparaten door de Windows Quick Assist-tool voor afstandsbediening en schermdeling te starten.

Vanaf daar zouden de aanvallers een script uitvoeren dat verschillende payloads installeert, zoals ScreenConnect, NetSupport Manager en Cobalt Strike, die continue externe toegang bieden tot het zakelijke apparaat van de gebruiker.

Nu de Black Basta-partner toegang heeft verkregen tot het bedrijfsnetwerk, zouden ze zich lateraal verspreiden naar andere apparaten terwijl ze de rechten verhogen, gegevens stelen en uiteindelijk de ransomware-encryptor inzetten.

Verplaatsen naar Microsoft Teams

In een nieuw rapport van ReliaQuest observeerden onderzoekers dat Black Basta-partners in oktober hun tactieken evolueerden door nu gebruik te maken van Microsoft Teams.

Net als bij de vorige aanval overspoelen de aanvallers eerst de inbox van een werknemer met e-mail.

Echter, in plaats van hen te bellen, nemen de aanvallers nu contact op met werknemers via Microsoft Teams als externe gebruikers, waarbij ze zich voordoen als de IT-helpdesk van het bedrijf die contact opneemt met de werknemer om hen te helpen met hun spamprobleem.

De accounts worden aangemaakt onder Entra ID-tenantaccounts die zo zijn benoemd dat ze op een helpdesk lijken, zoals:

securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com

“Deze externe gebruikers stellen hun profielen in op een ‘DisplayName’ ontworpen om de gerichte gebruiker te laten denken dat ze communiceren met een helpdeskaccount”, legt het nieuwe ReliaQuest-rapport uit.

“In bijna alle waargenomen gevallen bevatte de weergavenaam de string ‘Help Desk’, vaak omgeven door spaties, waarschijnlijk om de naam binnen de chat te centreren. We hebben ook gezien dat doorgaans gerichte gebruikers werden toegevoegd aan een ‘OneOnOne’-chat.”

ReliaQuest zegt dat ze ook hebben gezien dat de aanvallers QR-codes in de chats stuurden, die leidde naar domeinen zoals qr-s1[.]com. Het was hen echter niet duidelijk waarvoor deze QR-codes werden gebruikt.

De onderzoekers zeggen dat de externe Microsoft Teams-gebruikers afkomstig zijn uit Rusland, waarbij de tijdzonegegevens doorgaans uit Moskou komen.

Het doel is om opnieuw het doelwit te misleiden om AnyDesk te installeren of Quick Assist te starten zodat de aanvallers op afstand toegang krijgen tot hun apparaten.

Eenmaal verbonden, werden de aanvallers gezien tijdens de installatie van payloads met namen als “AntispamAccount.exe,” “AntispamUpdate.exe,” en “AntispamConnectUS.exe.”

Andere onderzoekers hebben AntispamConnectUS.exe op VirusTotal gemarkeerd als SystemBC, een proxymalware die Black Basta in het verleden heeft gebruikt.

Uiteindelijk wordt Cobalt Strike geïnstalleerd, wat volledige toegang geeft tot het gecompromitteerde apparaat, fungerend als een springplank om dieper het netwerk binnen te dringen.

ReliaQuest stelt voor dat organisaties communicatie van externe gebruikers in Microsoft Teams beperken en, indien nodig, dit alleen toestaan van vertrouwde domeinen. Logging moet ook worden ingeschakeld, vooral voor het ChatCreated-evenement, om verdachte chats op te sporen.