Microsoft waarschuwt dat de malware-operatie van het BazarCall (of Bazacall) callcenter eigenlijk gevaarlijker is dan eerst werd gedacht, met initiële aanvallen die mogelijk binnen 48 uur tot ransomware-aanvallen leiden.
De groep had zich gericht op Office 365/Microsoft 365-klanten met phishing-e-mail over 'aflopende' nep-proefabonnementen die het doelwit ertoe verleidden een callcenter te bellen om met een telefoniste te chatten, die vervolgens het slachtoffer probeerde te misleiden om de Bazacall-achterdeur te installeren.
Het Microsoft 365 Defender Threat Intelligence Team bracht de groep in juni in de schijnwerpers, zoals ZDNet destijds meldde, en in een nieuw bericht schetst het hoe het een gevaarlijker dreiging is dan eerder gemeld, waardoor de aanvallers ransomware kunnen verspreiden of gegevens kunnen stelen binnen 48 uur na infectie.
“Behalve met backdoor-mogelijkheden, geeft de BazaLoader-payload van deze campagnes een externe aanvaller ook hands-on-keyboardcontrole op het apparaat van een getroffen gebruiker, wat een snel netwerkcompromis mogelijk maakt”, zegt het Microsoft-team .
“Volgens onze waarneming kunnen aanvallen die voortkomen uit de BazaCall-dreiging zich snel binnen een netwerk verplaatsen, uitgebreide gegevensexfiltratie en diefstal van inloggegevens uitvoeren en ransomware verspreiden binnen 48 uur na het eerste compromis.”
De BazaCall-groep heeft blijkbaar werkte samen met de groep achter de Ryuk-ransomware, die ongeveer $ 150 miljoen aan Bitcoin heeft verdiend met zijn aanvallen.
Een paar opvallende verschillen met de tactieken van de BazaCall-groep zijn dat ze geen phishing-links gebruiken of schadelijke bijlagen verzenden, waardoor klassieke detectiesystemen worden vermeden. De techniek staat dichter bij callcenterfraudeurs en slachtoffers zijn ook verbonden met een menselijke operator.
“Hands-on-toetsenbordcontrole maakt deze dreiging nog gevaarlijker en ontwijkend dan traditionele, geautomatiseerde malware-aanvallen”, waarschuwt Microsoft.
Het callcenter en e-mailbereik van de operatie lijkt redelijk goed georganiseerd. Terwijl onderwerpregels in e-mails worden herhaald, is elke e-mail gelabeld met een unieke alfanumerieke tekenreeks, waardoor een gebruikers-ID of transactiecode wordt gecreëerd om het slachtoffer te identificeren bij meerdere oproepen.
De eerste callcentermedewerker bespreekt het aflopende abonnement en raadt het slachtoffer vervolgens aan een vervalste website te bezoeken waar ze zogenaamd het abonnement kunnen opzeggen om toekomstige maandelijkse kosten te vermijden.
Microsoft heeft aanvullende details verstrekt over het gebruik door de groep van kwaadaardige macro's in Excel-bestanden om de Cobalt Strike-penetratietestkit te downloaden en 'hands-on-keyboard' controle te krijgen over de machine van een slachtoffer en de mogelijkheid om in een netwerk te zoeken naar beheerders- en domeinbeheerdersaccounts info om gegevens te exfiltreren of Ryuk of Conti, een verwante ransomware, in te zetten.
De agent geeft het slachtoffer de opdracht om naar de accountpagina te gaan en het abonnement op te zeggen door een bestand te downloaden, wat een Excel-document met macro's blijkt te zijn. De callcentermedewerker instrueert het slachtoffer om inhoud in te schakelen op de standaardwaarschuwing van Microsoft in Excel dat macro's zijn uitgeschakeld.
Volgens de beschrijving van Microsoft gebruikt de groep relatief geavanceerde 'van het land leven' (of misbruikt legitieme softwaretools) voor snode netwerkactiviteiten.
Als de aanvaller een waardevol doelwit vindt, gebruiken ze 7-Zip om intellectueel eigendom te archiveren — zoals informatie over beveiligingsoperaties, financiën en budgettering — voor ondervraging.
In gevallen waar ransomware werd ingezet na een compromittering, gebruikte de aanvaller volgens Microsoft gecompromitteerde accounts met hoge privileges met Cobalt Strike's PsExec-functionaliteit om Ryuk- of Conti-ransomware op netwerkapparaten te verspreiden.
Verwante onderwerpen:
Microsoft Security TV Data Management CXO Datacenters 