Black Basta Ransomware: Tấn Công Qua Microsoft Teams

Đinh Văn MạnhĐinh Văn Mạnh
2 min read

Giới thiệu

Black Basta là một nhóm ransomware đã hoạt động từ tháng 4 năm 2022, nổi tiếng với hàng trăm cuộc tấn công vào các tập đoàn trên toàn thế giới. Sau khi nhóm tội phạm mạng Conti tan rã vào tháng 6 năm 2022, một số thành viên của nhóm này được cho là đã gia nhập Black Basta. Nhóm này sử dụng nhiều phương pháp để xâm nhập vào mạng lưới, bao gồm khai thác lỗ hổng bảo mật, hợp tác với các mạng botnet, và kỹ thuật lừa đảo xã hội.

Chiến thuật tấn công mới qua Microsoft Teams

Gần đây, Black Basta đã phát triển chiến thuật tấn công của mình bằng cách sử dụng Microsoft Teams. Thay vì gọi điện thoại như trước đây, các thành viên của nhóm này giờ đây liên hệ với nhân viên qua Microsoft Teams, giả danh là bộ phận hỗ trợ IT của công ty để giúp đỡ nhân viên với vấn đề spam.

Các tài khoản được tạo dưới các tên Entra ID như:

  • securityadminhelper.onmicrosoft[.]com

  • supportserviceadmin.onmicrosoft[.]com

  • supportadministrator.onmicrosoft[.]com

  • cybersecurityadmin.onmicrosoft[.]com

Những tài khoản này được thiết lập với tên hiển thị có chứa cụm từ "Help Desk" để làm cho người dùng tin rằng họ đang giao tiếp với bộ phận hỗ trợ thực sự. Trong nhiều trường hợp, người dùng bị thêm vào cuộc trò chuyện "OneOnOne".

Phương thức tấn công

Mục tiêu của các cuộc tấn công này là lừa người dùng cài đặt phần mềm AnyDesk hoặc khởi chạy Quick Assist để nhóm tấn công có thể truy cập từ xa vào thiết bị của họ. Khi đã kết nối, các thành viên của Black Basta cài đặt các payload như "AntispamAccount.exe", "AntispamUpdate.exe", và "AntispamConnectUS.exe". Một số payload này đã được xác định là SystemBC, một loại malware proxy mà Black Basta đã sử dụng trước đây.

Cuối cùng, Cobalt Strike được cài đặt, cung cấp quyền truy cập đầy đủ vào thiết bị bị xâm nhập, cho phép nhóm tấn công tiếp tục xâm nhập sâu hơn vào mạng lưới.

Khuyến nghị

ReliaQuest khuyến nghị các tổ chức nên hạn chế giao tiếp từ người dùng bên ngoài trên Microsoft Teams và chỉ cho phép từ các tên miền đáng tin cậy. Ngoài ra, cần kích hoạt ghi nhật ký, đặc biệt là sự kiện ChatCreated, để phát hiện các cuộc trò chuyện đáng ngờ.

Tham Khảo

  1. Black Basta ransomware poses as IT support on Microsoft Teams to breach networks
0
Subscribe to my newsletter

Read articles from Đinh Văn Mạnh directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Black Bastateamsransomware

Written by

Đinh Văn Mạnh
Đinh Văn Mạnh