Nhóm ransomware Black Basta đã triển khai một chiến dịch phishing tinh vi, sử dụng Microsoft Teams để thực hiện các cuộc tấn công social engineering. Chúng kết hợp email và công cụ để xâm nhập vào mạng lưới tổ chức, đánh lừa nạn nhân cung cấp quyền truy cập từ xa.
Chiến dịch bắt đầu với việc “email bombing”, spam hộp thư của nạn nhân bởi các email spam vô hại, nhằm đánh lạc hướng. Sau đó, kẻ tấn công giả danh nhân viên hỗ trợ IT trên Microsoft Teams, thuyết phục nạn nhân cung cấp quyền truy cập qua các công cụ Remote Management như Quick Assist hoặc AnyConnect.
Sau khi có quyền truy cập, Black Basta nhanh chóng tấn công leo thang bằng cách vô hiệu hóa các biện pháp bảo mật, đánh cắp dữ liệu nhạy cảm và cài đặt malware. Mục tiêu cuối cùng của chúng là kiểm soát hoàn toàn hệ thống của tổ chức.
Dấu hiệu nhận biết bao gồm lượng email spam tăng đột biến, các tên hiển thị đáng ngờ trên Microsoft Teams với từ khóa như “Help Desk,” và việc sử dụng bất thường các công cụ Remote Management (RMM). Ngoài ra, các cuộc trò chuyện trên Teams diễn ra ngay sau khi email bombing xuất hiện cũng là một dấu hiệu rõ ràng về cuộc tấn công.
Để bảo vệ tổ chức, NVISO Labs khuyến cáo cần theo dõi sát các hoạt động bất thường từ email và Microsoft Teams, kết hợp các tín hiệu để ngăn chặn kẻ tấn công trước khi chúng xâm nhập sâu hơn.
