Microsoft warnt davor, dass der Malware-Vorgang BazarCall (oder Bazacall) im Callcenter tatsächlich gefährlicher ist als zunächst angenommen, da anfängliche Angriffe möglicherweise innerhalb von 48 Stunden zu Ransomware-Angriffen führen.
Die Gruppe hatte Office 365/Microsoft 365-Kunden mit Phishing-E-Mails in Bezug auf “ablaufende” gefälschte Testabonnements ins Visier genommen, die das Ziel dazu verleiten, ein Callcenter anzurufen, um mit einem Operator zu chatten, der dann versucht, das Opfer zu täuschen in die Installation der Bazacall-Backdoor.
Das Microsoft 365 Defender Threat Intelligence Team stellte die Gruppe im Juni ins Rampenlicht, wie ZDNet damals berichtete, und skizziert in einem neuen Beitrag, dass es sich um eine gefährlichere Bedrohung als zuvor berichtet handelt, die es den Angreifern ermöglicht, Ransomware zu verteilen oder Daten innerhalb von 48 Stunden zu stehlen Infektion.
“Abgesehen von den Backdoor-Funktionen bietet die BazaLoader-Nutzlast dieser Kampagnen einem Remote-Angreifer auch eine praktische Tastatursteuerung auf dem Gerät eines betroffenen Benutzers, was eine schnelle Kompromittierung des Netzwerks ermöglicht”, sagt das Microsoft-Team .
“Unserer Beobachtung nach könnten sich Angriffe, die von der BazaCall-Bedrohung ausgehen, schnell innerhalb eines Netzwerks bewegen, umfangreiche Datenexfiltrationen und Zugangsdatendiebstahl durchführen und Ransomware innerhalb von 48 Stunden nach der ersten Kompromittierung verteilen.”
Die BazaCall-Gruppe hat anscheinend hat sich mit einer Gruppe hinter der Ryuk-Ransomware zusammengetan, die mit ihren Angriffen rund 150 Millionen US-Dollar an Bitcoin verdient hat.
Einige bemerkenswerte Unterschiede zu den Taktiken der BazaCall-Gruppe sind, dass sie keine Phishing-Links verwenden oder bösartige Anhänge senden, was dazu beiträgt, klassische Erkennungssysteme zu vermeiden. Die Technik ist näher an Callcenter-Betrügern und die Opfer sind auch mit einem menschlichen Operator verbunden.
“Die Kontrolle über die Tastatur macht diese Bedrohung noch gefährlicher und ausweichender als herkömmliche, automatisierte Malware-Angriffe”, warnt Microsoft.
Der Callcenter- und E-Mail-Outreach-Teil des Der Betrieb scheint einigermaßen gut organisiert zu sein. Während Betreffzeilen in E-Mails wiederholt werden, wird jede E-Mail mit einer eindeutigen alphanumerischen Zeichenfolge versehen, wodurch eine Benutzer-ID oder ein Transaktionscode erstellt wird, um das Opfer über mehrere Anrufe hinweg zu identifizieren.
Der erste Callcenter-Betreiber bespricht das auslaufende Abonnement und empfiehlt dem Opfer dann, eine gefälschte Website zu besuchen, auf der es angeblich das Abonnement kündigen kann, um zukünftige monatliche Gebühren zu vermeiden.
Microsoft hat zusätzliche Details zur Verwendung bösartiger Makros in Excel-Dateien durch die Gruppe bereitgestellt, um das Penetrationstest-Kit von Cobalt Strike herunterzuladen und die Kontrolle über die Tastatur eines Opfers zu erlangen und ein Netzwerk nach Administrator- und Domänenadministratorkonten zu durchsuchen info, um Daten zu exfiltrieren oder Ryuk oder Conti, eine verwandte Ransomware, bereitzustellen.
Der Agent weist das Opfer an, zur Kontoseite zu navigieren und das Abonnement zu kündigen, indem es eine Datei herunterlädt, die sich als makrofähiges Excel-Dokument herausstellt. Der Callcenter-Agent weist das Opfer an, den Inhalt der Microsoft-Standardwarnung in Excel zu aktivieren, dass Makros deaktiviert wurden.
Die Gruppe verwendet nach der Beschreibung von Microsoft relativ ausgeklügelte “Leben vom Land” (oder missbraucht legitime Softwaretools) für schändliche Netzwerkaktivitäten.
Wenn der Angreifer ein hochwertiges Ziel findet, verwendet er 7-Zip, um geistiges Eigentum – wie Informationen über Sicherheitsvorgänge, Finanzen und Budgetierung – zur Exfiltration zu archivieren.
In Fällen Wo Ransomware nach der Kompromittierung eingesetzt wurde, nutzte der Angreifer laut Microsoft kompromittierte Konten mit hohen Privilegien mit der PsExec-Funktion von Cobalt Strike, um Ryuk- oder Conti-Ransomware auf Netzwerkgeräten zu verteilen.
Verwandte Themen:
Microsoft Security TV-Datenverwaltung CXO-Rechenzentren 