กลุ่มแรนซัมแวร์ Black Basta ใช้ Microsoft Teams โจมตีองค์กร
กลุ่มแรนซัมแวร์อันตรายที่รู้จักกันในชื่อ “Black Basta” ได้ยกระดับกลยุทธ์การโจมตีทางสังคมวิศวกรรมเพื่อเข้าถึงระบบและข้อมูลสำคัญขององค์กรโดยไม่ได้รับอนุญาต
ReliaQuest บริษัทด้านความปลอดภัยไซเบอร์ชั้นนำ ได้เปิดเผยถึงแคมเปญการโจมตีที่ซับซ้อนซึ่งเกี่ยวข้องกับการใช้ข้อความแชทใน Microsoft Teams และรหัส QR ที่เป็นอันตรายเพื่ออำนวยความสะดวกในการเข้าถึงเบื้องต้น Black Basta ซึ่งก่อนหน้านี้เป็นที่รู้จักจากการท่วมผู้ใช้ด้วยสแปมอีเมลและการปลอมตัวเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือทางเทคนิค ได้พัฒนากลยุทธ์ของพวกเขาแล้ว
วิธีการโจมตี
- ในเหตุการณ์ล่าสุด ผู้โจมตีได้ใช้ข้อความแชทใน Microsoft Teams เพื่อสื่อสารกับผู้ใช้เป้าหมาย โดยเพิ่มพวกเขาเข้าไปในแชทกับผู้ใช้ภายนอกที่ดำเนินการจากเทแนนต์ Entra ID ปลอม ผู้ใช้ภายนอกเหล่านี้ ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุน ผู้ดูแลระบบ หรือเจ้าหน้าที่ฝ่ายช่วยเหลือทางเทคนิค ใช้ชื่อจอแสดงผลที่ออกแบบมาเพื่อหลอกลวงผู้ใช้เป้าหมายให้เชื่อว่าพวกเขากำลังสื่อสารกับบัญชีฝ่ายช่วยเหลือทางเทคนิคที่แท้จริง
การสืบสวนของ ReliaQuest เปิดเผยว่า การกระทำของผู้โจมตีมักจะมาจากรัสเซีย โดยข้อมูลโซนเวลาที่บันทึกโดย Teams มักจะแสดงเวลามอสโก
- นอกจากการใช้ Microsoft Teams แล้ว Black Basta ยังได้นำรหัส QR มาใช้ในคลังอาวุธฟิชชิ่งของพวกเขา ผู้ใช้เป้าหมายจะได้รับรหัส QR ภายในแชทเหล่านี้ ปลอมตัวเป็นภาพรหัส QR ของบริษัทที่ถูกต้องตามกฎหมาย โดเมนที่ใช้สำหรับกิจกรรมฟิชชิ่งรหัส QR นี้ได้รับการปรับแต่งให้ตรงกับองค์กรเป้าหมาย โดยมีซับโดเมนตามรูปแบบการตั้งชื่อเฉพาะ แม้ว่าจุดประสงค์ที่แท้จริงของรหัส QR เหล่านี้ยังไม่ชัดเจน แต่คาดว่าจะนำผู้ใช้ไปสู่โครงสร้างพื้นฐานที่เป็นอันตรายเพิ่มเติม วางรากฐานสำหรับเทคนิคการโจมตีทางสังคมวิศวกรรมติดตามผลและการปรับใช้เครื่องมือการจัดการและการตรวจสอบระยะไกลของ RMM
แคมเปญ Black Basta เป็นภัยคุกคามที่สำคัญต่อองค์กรในภาคส่วนและภูมิศาสตร์ที่หลากหลาย
- ReliaQuest สังเกตเห็นความเข้มข้นที่น่าตกใจในกิจกรรมของกลุ่ม โดยมีเหตุการณ์หนึ่งเกี่ยวข้องกับอีเมลประมาณ 1,000 ฉบับที่ถล่มผู้ใช้เพียงคนเดียวภายในเวลาเพียง 50 นาที
การประสบความสำเร็จในการดำเนินการไฟล์ที่เป็นอันตรายที่ดาวน์โหลดผ่านเครื่องมือ RMM นำไปสู่การส่งสัญญาณของ Cobalt Strike และการใช้โมดูล Impacket สำหรับการเคลื่อนย้ายด้านข้างภายในเครือข่ายที่ถูกโจมตี
เป้าหมายสูงสุดของการโจมตีเหล่านี้เกือบจะแน่นอนคือการปรับใช้แรนซัมแวร์
วิธีป้องกัน
- บล็อกโดเมนและซับโดเมนที่เป็นอันตรายที่ระบุ
- ปิดการสื่อสารจากผู้ใช้ภายนอกภายใน Microsoft Teams หรืออนุญาตเฉพาะโดเมนที่เชื่อถือได้
- ตั้งค่า นโยบายป้องกันสแปมที่เข้มงวดภายในเครื่องมือรักษาความปลอดภัยอีเมล
- เปิดใช้งานการบันทึกสำหรับ Microsoft Teams โดยเฉพาะอย่างยิ่งเหตุการณ์ ChatCreated เพื่ออำนวยความสะดวกในการตรวจจับและการสืบสวน
- นอกจากนี้ องค์กรควรตรวจสอบให้แน่ใจว่าพนักงานยังคงตื่นตัวต่อกลยุทธ์การโจมตีทางสังคมวิศวกรรมในปัจจุบัน โดยการจัดหาโปรแกรมการฝึกอบรมและสร้างความตระหนักอย่างต่อเนื่อง
ความระมัดระวังนี้ควบคู่ไปกับกลยุทธ์การป้องกันแบบหลายชั้นที่แข็งแกร่ง ซึ่งรวมถึงมาตรการรักษาความปลอดภัยหลายชั้น เช่น ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการตรวจสอบความปลอดภัยเป็นประจำ ในขณะที่ Black Basta ยังคงปรับเปลี่ยนกลยุทธ์ของพวกเขา องค์กรต้องมีความกระตือรือร้นในการดำเนินมาตรการรักษาความปลอดภัยทางไซเบอร์ โดยการติดตามข่าวสารเกี่ยวกับภัยคุกคามล่าสุด การใช้วิธีการรักษาความปลอดภัยที่ครอบคลุม และการส่งเสริมวัฒนธรรมการรับรู้ด้านความปลอดภัยทางไซเบอร์ องค์กรสามารถลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีแรนซัมแวร์ที่ซับซ้อนเหล่านี้ได้อย่างมาก
แหล่งที่มา : https://cybersecuritynews.com/black-basta-microsoft-teams/
สนใจสินค้า
Tel : 02-026-6665
Email : [email protected]
Line : @monsteronline
