Команда вирусов-вымогателей выдает себя за ИТ-поддержку Microsoft Teams, чтобы украсть логины и пароли

Киберпреступная группировка Black Basta усовершенствовала одну из своих технологий проникновения в организации, получения постоянного доступа и запуска кампаний по вымогательству с использованием Microsoft Teams.
Команда вирусов-вымогателей выдает себя за ИТ-поддержку Microsoft Teams, чтобы украсть логины и пароли

Команда вирусов-вымогателей выдает себя за ИТ-поддержку Microsoft Teams, чтобы украсть логины и пароли. Фото: СС0

Самая последняя технология отличается высокой точностью и заключается в использовании социальной инженерии для «целевого спама» почтового ящика сотрудника огромным количеством ненужных сообщений до такой степени, что почтовый ящик становится просто непригодным для использования.

Затем злоумышленники звонили сотруднику и выдавали себя за сотрудников службы ИТ-поддержки организации, предлагая помощь в борьбе со спамом.

«Помогая» сотруднику, злоумышленники получают контроль над устройством жертвы, установив программное обеспечение удаленного рабочего стола AnyDesk или запустив инструмент Windows Quick Assist, а затем развернув полезные нагрузки, которые заражают устройство с помощью ScreenConnect, NetSupport Manager и Cobalt Strike. С помощью этих полезных нагрузок злоумышленники осуществляютсвою типичную атаку с использованием программ-вымогателей.

В последнее время Black Basta связывается с сотрудником через Microsoft Teams, используя внешнюю учетную запись, настроенную для имитации службы ИТ-поддержки организации с использованием арендаторов Entra ID, которые, на первый взгляд, кажутся законными. Однако при дальнейшем рассмотрении они явно поддельные.

В Black Basta использовали клиентов, к имени которых добавлялось «*.onmicrosoft.com», например «securityadminhelper.onmicrosoft[.]com» или «Supportserviceadmin.onmicrosoft[.]com».

Атакующие также использовали экранное имя «Help Desk», размещенное в центре чата с использованием пробельных символов, и добавляли его в чат «OneOnOne». Затем хакеры продолжали атаку, развертывая полезные нагрузки в файлах с именами «AntispamAccount.exe», «AntispamUpdate.exe» или «AntispamConnectUS.exe».

Специалисты рекомендуют системным администраторам и специалистам по безопасности устанавливать чаты Microsoft Teams из внешних учетных записей только на доверенные домены, а также включить ведение журнала чатов.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

Microsoft Teams Облачное решение для взаимодействия с командой при помощи чатов, видеозвонков, голосовой связи и совместной работы.
Облачное решение для взаимодействия с командой при помощи чатов, видеозвонков, голосовой связи и совместной работы.

Больше интересного

Актуальное

Инструмент транскрипции Whisper от OpenAI имеет проблемы с галлюцинациями
В Oriole Networks намерены обучать LLM в 100 раз быстрее с помощью света
Чат-бот на базе искусственного интеллекта проинформирует пользователей о происходящих событиях на основе сводки Reuters
Ещё…