BlackBastaランサムウェア作戦は、そのソーシャル・エンジニアリング攻撃をMicrosoft Teamsに移し、企業のヘルプデスクを装って従業員に連絡し、現在進行中のスパム攻撃を支援している。
ブラックバスタは、2022年4月から活動しているランサムウェアのオペレーションであり、世界中の企業に対する何百もの攻撃を担当している。
2022年6月にContiサイバー犯罪シンジケートが一連の 恥ずべきデータ漏洩の後に閉鎖された後、活動は複数のグループに分裂し、これらの派閥の1つがBlack Bastaであると考えられています。
Black Bastaのメンバーは、脆弱性、提携を希望するマルウェア・ボットネット、ソーシャル・エンジニアリングなど、さまざまな手法でネットワークに侵入する。
5月、Rapid7と ReliaQuestは、標的の従業員の受信トレイに何千通もの電子メールを殺到させる新たなBlack Bastaソーシャルエンジニアリングキャンペーンに関するアドバイザリを発表しました。これらのメールは、ほとんどがニュースレター、サインアップの確認、電子メールの確認で構成されており、本質的に悪意のあるものではありませんでしたが、すぐにユーザーの受信トレイを圧倒しました。
そして、脅威の実行者は、スパムの問題を解決するために、会社のITヘルプデスクを装って、圧倒された従業員に電話をかけるのだった。
このボイス・ソーシャル・エンジニアリング攻撃の間、攻撃者はユーザーを騙してAnyDeskリモート・サポート・ツールをインストールさせたり、Windows Quick Assistリモート・コントロールおよび画面共有ツールを起動させてWindowsデバイスへのリモート・アクセスを提供させたりします。
そこから攻撃者は、ScreenConnect、NetSupport Manager、Cobalt Strikeなどのさまざまなペイロードをインストールするスクリプトを実行し、ユーザーの企業デバイスへの継続的なリモートアクセスを提供します。
Black Bastaの関連会社は企業ネットワークにアクセスできるようになったため、他のデバイスに横展開し、特権を昇格させ、データを盗み、最終的にランサムウェア暗号化ツールを展開します。
Microsoft Teamsへの移行
ReliaQuestの新しいレポートでは、研究者は10月にBlack Bastaの関連会社がMicrosoft Teamsを利用することで戦術を進化させていることを確認しています。
以前の攻撃と同様に、脅威の主体はまず従業員の受信トレイを電子メールで圧倒します。
しかし、攻撃者は従業員に電話をかける代わりに、外部ユーザーとしてMicrosoft Teamsを通じて従業員と接触し、企業のITヘルプデスクになりすまして従業員にスパム問題を解決するよう連絡します。
アカウントはEntra IDのテナントの下に作成され、ヘルプデスクに見えるように次のような名前が付けられている:
securityadminhelper.onmicrosoft[.]com supportserviceadmin.onmicrosoft[.]com supportadministrator.onmicrosoft[.]com cybersecurityadmin.onmicrosoft[.]com
「ReliaQuestの新しいレポートでは、「これらの外部ユーザーは、標的となったユーザーにヘルプデスクのアカウントと通信していると思わせるような “DisplayName “をプロフィールに設定しています。
「私たちが観察したほぼすべてのケースで、表示名には “Help Desk “という文字列が含まれており、しばしば空白文字で囲まれていました。また、通常、ターゲットとされたユーザーは “OneOnOne “チャットに追加されることが確認されました。
ReliaQuest社によると、脅威行為者はチャット内でQRコードを送信しており、それがqr-s1[.]comのようなドメインにつながることも確認されているという。しかし、これらのQRコードが何に使われているのかは特定できなかったという。
研究者によると、外部のMicrosoft Teamsユーザーはロシアから発信されており、タイムゾーンのデータは定期的にモスクワから発信されている。
目的は、再びターゲットを騙してAnyDeskをインストールさせるか、Quick Assistを起動させ、脅威行為者が彼らのデバイスにリモートアクセスできるようにすることです。
接続されると、脅威行為者は “AntispamAccount.exe”、”AntispamUpdate.exe”、”AntispamConnectUS.exe “というペイロードをインストールすることが確認されています。
他の研究者は、VirusTotal上でAntispamConnectUS.exeを、Black Bastaが過去に使用していたプロキシマルウェアであるSystemBCとしてフラグを立てている。
最終的には、Cobalt Strikeがインストールされ、侵害されたデバイスへのフルアクセスが提供され、ネットワークにさらに侵入するための踏み台として機能します。
ReliaQuestは、組織がMicrosoft Teamsの外部ユーザーからの通信を制限し、必要に応じて信頼できるドメインからの通信のみを許可することを提案する。また、不審なチャットを発見するために、特にChatCreatedイベントのログを有効にする必要があります。
Comments