російські хакери Black Basta видають себе за ІТ-підтримку Microsoft Teams, щоб викрасти логіни та паролі компаній
російська злочинна хакерська група Black Basta вигадала новий метод, щоб отримати контроль над пристроями компаній.
російська злочинна хакерська група Black Basta вигадала новий метод, щоб отримати контроль над пристроями компаній.
Новий метод передбачає використання соціальної інженерії для «закидання» електронної скриньки працівника компанії величезною кількістю листів, до такої міри, що вона стає просто непридатною для використання, пише TechRadar.
Потім зловмисники телефонують співробітнику і представляються службою технічної підтримки компанії, пропонуючи допомогу в боротьбі зі спамом.
«Допомагаючи» співробітнику, зловмисники отримують контроль над пристроєм жертви, встановлюючи програмне забезпечення віддаленого робочого столу AnyDesk або запускаючи інструмент Windows Quick Assist, після чого розгортають корисне навантаження, яке заражає пристрій за допомогою ScreenConnect, NetSupport Manager і Cobalt Strike. За допомогою цих програм зловмисники запускають атаку програм-вимагачів.
У новому методі Black Basta зв’язується з працівником через Microsoft Teams, використовуючи зовнішній обліковий запис, створений для імітації служби підтримки ІТ-служби організації, використовуючи орендарів Entra ID, які виглядають легітимними, але лише з першого погляду. Однак при подальшій перевірці виявляється, що вони явно підроблені.
На початку жовтня помітили, що зловмисники Black Basta використовували орендарів з додатком *.onmicrosoft.com, таких як securityadminhelper.onmicrosoft[.]com або Supportserviceadmin.onmicrosoft[.]com.
Також використовували екранне ім’я «Help Desk», розташоване в центрі чату за допомогою пробілів, і додавали його до чату «OneOnOne». Потім зловмисники продовжували атаку, розгортаючи корисне навантаження у файлах з іменами «AntispamAccount.exe», «AntispamUpdate.exe» або «AntispamConnectUS.exe».
Значна частина фальшивих акаунтів Teams походить з росії, причому багато з них мають дані часового поясу, прив’язані до Москви.
Black Basta звинувачують у більш ніж 500 атаках програм-вимагачів по всьому світу. Група зарекомендувала себе як один з найбільш активних постачальників програм-вимагачів як послуги.
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
російське Мінцифри хоче створити власну Linux-спільноту після видалення росіян зі списку мейнтейнерів ядра ОС Linux
російське Мінцифри хоче створити власну Linux-спільноту після видалення росіян зі списку мейнтейнерів ядра ОС Linux
На росії придумали, як завозити санкційні ШІ-чипи Nvidia. Західні технології постійно знаходять у збитих над Україною ворожих дронах
На росії придумали, як завозити санкційні ШІ-чипи Nvidia. Західні технології постійно знаходять у збитих над Україною ворожих дронах
Російські хакери розсилають фішингові листи до органів місцевого самоврядування. CERT-UA фіксують масштабну кібератаку
Російські хакери розсилають фішингові листи до органів місцевого самоврядування. CERT-UA фіксують масштабну кібератаку
