קבוצת הכופרה BlackBasta העבירה את מתקפות ההנדסה החברתית שלה ל- Microsoft Teams, כשהיא מתחזה למוקדי עזרה ארגוניים הפונים לעובדים כדי לסייע להם במתקפת ספאם מתמשכת. Black Basta היא קבוצת כופרה הפעילה מאז אפריל 2022 ואחראית למאות מתקפות נגד תאגידים ברחבי העולם. חברי BlackBasta פורצים רשתות בשיטות שונות כולל ניצול פגיעויות אבטחת מידע, פריסת נוזקות ומתקפות הנדסה חברתית.
בחודש מאי, Rapid7 ו- ReliaQuest פרסמו עצות להתגוננות מפני מתקפת הנדסה חברתית חדשה של Black Basta אשר הציפה את תיבות הדואר הנכנס של עובדים באלפי מיילים. הודעות דוא"ל אלו לא היו זדוניות במהותן, רובן מורכבות מניוזלטרים, אישורי הרשמה ואימותי דוא"ל, אך הם הכריעו במהירות את תיבת הדואר הנכנס של המשתמש. לאחר מכן, היו פושעי הסייבר מתקשרים לעובד ההמום ומתחזים לדלפק ה- IT של החברה שלו כדי לעזור לו עם בעיות הספאם שלו. במהלך מתקפת הנדסה חברתית קולית זו, גורמים פושעי הסייבר לקורבן להתקין את כלי התמיכה מרחוק AnyDesk או לספק גישה מרחוק למכשירי ה- Windows שלו על ידי Windows Quick Assist. משם, מפעילים פושעי הסייבר סקריפט המתקין מטענים שונים כגון ScreenConnect, NetSupport Manager ו- Cobalt Strike, המספקים גישה מרחוק מתמשכת למחשב הארגוני של המשתמש. כעת, לאחר שהשיגו גישה לרשת המחשוב הארגונית, הם יתפשטו לרוחב רשת המחשוב תוך הסלמת הרשאות, גניבת מידע ובסופו של דבר פריסת כופרה.
בדו"ח חדש של ReliaQuest, צפו חוקרי הסייבר בחברי Black Basta כשהם מפתחים את הטקטיקה הזו על ידי שימוש ב- Microsoft Teams. כמו במתקפה המקורית, מציפים פושעי הסייבר את תיבת הדואר הנכנס של העובדים בדואר אלקטרוני. עם זאת, במקום להתקשר אליהם, פונים כעת פושעי הסייבר לעובדים דרך Microsoft Teams כמשתמשים חיצוניים, שם הם מתחזים לדלפק ה- IT הארגוני היוצר קשר עם העובד כדי לסייע לו בבעיית הספאם שלו. "המשתמשים החיצוניים הללו מגדירים את הפרופילים שלהם ל- "DisplayName" שנועד לגרום לקורבן לחשוב שהם מתקשרים עם חשבון Helpdesk", מסביר הדו"ח החדש של ReliaQuest ומדגיש: "כמעט בכל המקרים שצפינו, שם התצוגה כלל את המחרוזת "דלפק תמיכה", לעתים קרובות מוקף בתווים לבנים, שסביר להניח שירכז את השם בתוך הצ'אט." ReliaQuest אומרים גם שפושעי הסייבר שולחים קודי QR בצ'אטים, מה שמוביל לדומיינים כמו qr-s1[.]com. עם זאת, הם לא יכלו לקבוע למה משמשים קודי QR אלו.
חוקרי הסייבר טוענים כי מקור המשתמשים החיצוניים של Microsoft Teams הוא ברוסיה, כאשר נתוני אזור הזמן הם באופן קבוע ממוסקבה. המטרה היא שוב להערים על הקורבן להתקין AnyDesk או להפעיל Quick Assist כדי שפושעי הסייבר יוכלו להשיג גישה מרחוק למערכות המחשוב שלהם. לאחר חיבורם, מתקינים פושעי הסייבר מטענים בשם "AntispamAccount.exe", "AntispamUpdate.exe" ו- "AntispamConnectUS.exe". בסופו של דבר מותקן Cobalt Strike, המספק גישה מלאה למכשיר שנפגע כדי לשמש כקרש קפיצה לרשת המחשוב הארגונית.
ReliaQuest ממליצה לארגונים להגביל תקשורת ממשתמשים חיצוניים ב- Microsoft Teams ובמידת הצורך לאפשר זאת רק מדומיינים מהימנים. מומלץ גם להפעיל רישום, במיוחד עבור אירוע ChatCreated, כדי למצוא צ'אטים חשודים.
