Microsoft advarer om at BazarCall (eller Bazacall) call center malware -drift faktisk er farligere enn først antatt, med første angrep som potensielt kan føre til ransomware -angrep innen 48 timer.
Gruppen hadde rettet seg mot Office 365/Microsoft 365 -kunder med phishing -e -post angående “utløpende” falske prøveabonnementer som lurer målet til å ringe et kundesenter for å chatte med en operatør, som deretter prøver å lure offeret til å installere Bazacall bakdør.
Microsoft 365 Defender Threat Intelligence Team satte søkelyset på gruppen i juni, slik ZDNet rapporterte den gangen, og i et nytt innlegg skisserer den hvordan det er en farligere trussel enn tidligere rapportert, slik at angriperne kan distribuere ransomware eller stjele data innen 48 timer etter infeksjon.
“Bortsett fra å ha bakdørsmuligheter, gir BazaLoader nyttelast fra disse kampanjene også en ekstern angriper hands-on-tastaturkontroll på en berørt brukers enhet, noe som gir mulighet for et raskt nettverkskompromiss,” sier Microsoft-teamet .
“I vår observasjon kan angrep som kommer fra BazaCall -trusselen bevege seg raskt i et nettverk, utføre omfattende dataeksfiltrering og legitimasjonstyveri og distribuere ransomware innen 48 timer etter det første kompromisset.”
BazaCall -gruppen har tilsynelatende sluttet seg sammen med gruppen bak Ryuk -ransomware, som har tjent rundt 150 millioner dollar i Bitcoin fra angrepene.
Noen få bemerkelsesverdige forskjeller med BazaCall -gruppens taktikk inkluderer at de ikke bruker phishing -lenker eller sender ondsinnede vedlegg, noe som hjelper til med å unngå klassiske deteksjonssystemer. Teknikken er nærmere svindlere av telefonsenter og ofre er også koblet til en menneskelig operatør.
“Hånd-på-tastatur-kontroll gjør denne trusselen ytterligere farligere og mer unnvikende enn tradisjonelle, automatiserte malware-angrep,” advarer Microsoft.
Kallesenteret og e-postoppsøkende deler av drift virker rimelig godt organisert. Mens emnelinjer i e-postmeldinger gjentas, merkes hver e-post med en unik alfanumerisk streng, som oppretter en bruker-ID eller transaksjonskode for å identifisere offeret i flere samtaler.
Den første telefonsentraloperatøren diskuterer abonnementet som utløper, og anbefaler deretter offeret å besøke et falskt nettsted der de angivelig kan kansellere abonnementet for å unngå fremtidige månedlige avgifter.
Microsoft har gitt ytterligere detaljer om gruppens bruk av ondsinnede makroer i Excel-filer for å laste ned Cobalt Strike-penetrasjonstest-settet og få 'hands-on-keyboard' kontroll over offerets maskin og muligheten til å søke i et nettverk etter admin- og domeneadministratorkonto info for å eksfiltrere data eller distribuere Ryuk eller Conti, en relatert ransomware.
Agenten instruerer offeret om å navigere til kontosiden og kansellere abonnementet ved å laste ned en fil, som viser seg å være et makroaktivert Excel-dokument. Call center-agenten instruerer offeret om å aktivere innhold på Microsofts standardadvarsel i Excel om at makroer er deaktivert.
Gruppen bruker, ifølge Microsofts beskrivelse, relativt sofistikerte 'living-off-the-land' (eller misbruker legitime programvareverktøy) for uærlige nettverksaktiviteter.
Hvis angriperen finner et mål av høy verdi, bruker de 7-Zip til å arkivere intellektuell eiendom-for eksempel informasjon om sikkerhetsoperasjoner, økonomi og budsjettering-for eksfiltrering.
I tilfeller der ransomware ble distribuert etter kompromiss, brukte angriperen kompromitterte kontoer med høy privilegium med Cobalt Strikes PsExec -funksjonalitet for å distribuere Ryuk eller Conti ransomware på nettverksenheter, ifølge Microsoft.
Relaterte emner:
Microsoft Security TV Data Management CXO datasentre 