Tech

Le ransomware Black Basta se présente comme un support informatique sur Microsoft Teams pour violer les réseaux

Harold Fortieril y a 4 heuresDernière mise à jour: octobre 26, 2024
Le ransomware Black Basta se présente comme un support informatique sur Microsoft Teams pour violer les réseaux

Le ransomware Black Basta se présente comme un support informatique sur Microsoft Teams pour violer les réseaux

L’opération de ransomware BlackBasta a déplacé ses attaques d’ingénierie sociale vers Microsoft Teams, se faisant passer pour des services d’assistance d’entreprise contactant les employés pour les aider dans une attaque de spam en cours.

Black Basta est une opération de ransomware active depuis avril 2022 et responsable de centaines d’attaques contre des entreprises dans le monde entier.

Après la fermeture du syndicat de cybercriminalité Conti en juin 2022 à la suite d’une série de violations de données embarrassantes, l’opération s’est divisée en plusieurs groupes, l’une de ces factions étant considérée comme Black Basta.

Les membres de Black Basta piratent les réseaux par diverses méthodes, notamment les vulnérabilités, les partenariats avec des botnets de logiciels malveillants et l’ingénierie sociale.

En mai, Rapide7 et ReliaQuest a publié des avis sur une nouvelle campagne d’ingénierie sociale Black Basta qui a inondé les boîtes de réception des employés ciblés avec des milliers d’e-mails. Ces e-mails n’étaient pas de nature malveillante, consistant principalement en des newsletters, des confirmations d’inscription et des vérifications d’e-mails, mais ils ont rapidement submergé la boîte de réception d’un utilisateur.

Les auteurs de la menace appelleraient alors l’employé débordé, se faisant passer pour le service d’assistance informatique de leur entreprise pour l’aider à résoudre ses problèmes de spam.

Au cours de cette attaque d’ingénierie sociale vocale, les attaquants incitent la personne à installer l’outil d’assistance à distance AnyDesk ou à fournir un accès à distance à ses appareils Windows en lançant l’outil de contrôle à distance et de partage d’écran Windows Quick Assist.

À partir de là, les attaquants exécuteraient un script qui installe diverses charges utiles, telles que ScreenConnect, NetSupport Manager et Cobalt Strike, qui fournissent un accès à distance continu à l’appareil d’entreprise de l’utilisateur.

Maintenant que la filiale Black Basta a accès au réseau de l’entreprise, elle se propagerait latéralement à d’autres appareils tout en élevant les privilèges, en volant des données et, finalement, en déployant le chiffreur du ransomware.

Passer aux équipes Microsoft

Dans un nouveau rapport de ReliaQuest, les chercheurs ont observé que les affiliés de Black Basta avaient évolué leurs tactiques en octobre en utilisant désormais Microsoft Teams.

Comme lors de l’attaque précédente, les auteurs de la menace submergent d’abord la boîte de réception d’un employé avec des e-mails.

Cependant, au lieu de les appeler, les attaquants contactent désormais les employés via Microsoft Teams en tant qu’utilisateurs externes, où ils se font passer pour le service d’assistance informatique de l’entreprise qui contacte l’employé pour l’aider à résoudre son problème de spam.

Les comptes sont créés sous des locataires Entra ID qui sont nommés pour apparaître comme un service d’assistance, comme :


securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com

« Ces utilisateurs externes définissent leur profil sur un « DisplayName » conçu pour faire croire à l’utilisateur ciblé qu’il communiquait avec un compte d’assistance », explique le nouveau Rapport ReliaQuest.

« Dans presque tous les cas que nous avons observés, le nom d’affichage incluait la chaîne « Help Desk », souvent entourée de caractères d’espacement, qui est susceptible de centrer le nom dans le chat. Nous avons également observé que, généralement, des utilisateurs ciblés étaient ajoutés à une discussion « OneOnOne ».

ReliaQuest affirme avoir également vu les acteurs de la menace envoyer des codes QR dans les chats, qui mènent à des domaines comme qr-s1.[.]com. Cependant, ils n’ont pas pu déterminer à quoi servent ces codes QR.

Les chercheurs affirment que les utilisateurs externes de Microsoft Teams sont originaires de Russie et que les données de fuseau horaire proviennent régulièrement de Moscou.

L’objectif est une fois de plus d’inciter la cible à installer AnyDesk ou à lancer Quick Assist afin que les acteurs malveillants puissent accéder à distance à leurs appareils.

Une fois connectés, les auteurs de la menace ont été vus en train d’installer des charges utiles nommées « AntispamAccount.exe », « AntispamUpdate.exe » et « AntispamConnectUS.exe ».

D’autres chercheurs ont signalé AntispamConnectUS.exe sur VirusTotal comme SystèmeBCun malware proxy que Black Basta a utilisé dans le passé.

En fin de compte, Cobalt Strike est installé, offrant un accès complet à l’appareil compromis pour servir de tremplin pour pénétrer plus loin dans le réseau.

ReliaQuest suggère aux organisations de restreindre la communication des utilisateurs externes dans Microsoft Teams et, si nécessaire, de l’autoriser uniquement à partir de domaines de confiance. La journalisation doit également être activée, en particulier pour l’événement ChatCreated, afin de rechercher les discussions suspectes.

Source link

Harold Fortieril y a 4 heuresDernière mise à jour: octobre 26, 2024
News 24 est un site d’information. Les actualités les plus importantes sont collectées à l’aide d’un algorithme d’acceptation automatique et de traduction automatique des actualités.