В октябре 2024 года компания ReliaQuest выявила тенденцию использования передовых тактик социальной инженерии, приписываемых группе разработчиков вымогательского ПО Black Basta.
Black Basta Ransomware
Изначально Black Basta использовала массовый почтовый спам, чтобы побудить жертв создавать заявки в службу поддержки, а теперь перешла к использованию сообщений Microsoft Teams, выдавая себя за сотрудников службы поддержки с внешних аккаунтов. Эти поддельные профили в Teams обманывают пользователей, заставляя их устанавливать инструменты удаленного мониторинга и управления (RMM) или сканировать вредоносные QR-коды, предоставляя злоумышленникам первоначальный доступ к целевым средам.
В ходе последних атак пользователи получают спам по электронной почте - в одном случае более 1000 писем в течение часа, - а затем переходят к чатам Teams, используя обманчивые идентификаторы Entra ID, такие как «supportserviceadmin.onmicrosoft.com». В этих чатах злоумышленники также используют QR-коды, которые выглядят законно, а домены типа «qr-s1[.]com» имитируют брендинг компании для дальнейших попыток фишинга. Цель Black Basta - развертывание вымогательского ПО, а такие тактики, как установка AnyDesk, позволяют злоумышленникам устанавливать поддельные «антиспамовые» файлы, которые собирают учетные данные или распространяются по сети.
По мнению ReliaQuest, от действий этой группы становится все труднее защититься, что подчеркивает настоятельную необходимость проявлять бдительность в отношении безопасности команд и учетных записей электронной почты.
Indicators of Compromise
Domains
- qr-s1.com
- qr-s2.com
- qr-s3.com
- qr-s4.com
