Microsoft advarer om, at BazarCall (eller Bazacall) callcenter -malware -operationen faktisk er farligere end først antaget, idet første angreb potentielt kan føre til ransomware -angreb inden for 48 timer.
Gruppen havde målrettet Office 365/Microsoft 365 -kunder med phishing -e -mail vedrørende 'udløbne' falske prøve -abonnementer, der duperer målet til at ringe til et callcenter for at chatte med en operatør, som derefter prøver at narre offeret til at installere Bazacall bagdøren.
Microsoft 365 Defender Threat Intelligence Team satte fokus på gruppen i juni, som ZDNet rapporterede dengang, og i et nyt indlæg skitserer den, hvordan det er en farligere trussel end tidligere rapporteret, så angriberne kunne distribuere ransomware eller stjæle data inden for 48 timer efter infektion.
“Bortset fra at have bagdørsfunktioner giver BazaLoader nyttelast fra disse kampagner også en fjernangriber hands-on-tastaturstyring på en berørt brugers enhed, hvilket giver mulighed for et hurtigt netværkskompromis,” siger Microsoft-teamet .
“I vores observation kan angreb, der stammer fra BazaCall-truslen, bevæge sig hurtigt inden for et netværk, foretage omfattende dataeksfiltrering og legitimationstyveri og distribuere ransomware inden for 48 timer efter det indledende kompromis.”
BazaCall-gruppen har tilsyneladende sluttet sig sammen med gruppen bag Ryuk ransomware, som har tjent omkring $ 150 millioner i Bitcoin fra sine angreb.
Et par bemærkelsesværdige forskelle med BazaCall -gruppens taktik inkluderer, at de ikke bruger phishing -links eller sender ondsindede vedhæftede filer, hvilket hjælper med at undgå klassiske registreringssystemer. Teknikken er tættere på callcenter -svindlere, og ofre er også forbundet med en menneskelig operatør.
“Hånd-på-tastatur-kontrol gør denne trussel yderligere farligere og mere undvigende end traditionelle, automatiserede malware-angreb,” advarer Microsoft.
Callcenteret og e-mail-opsøgende dele af operationen virker rimelig velorganiseret. Mens emnelinjer i e-mails gentages, mærkes hver e-mail med en unik alfanumerisk streng, der opretter et bruger-id eller en transaktionskode for at identificere offeret på tværs af flere opkald.
Den første callcenter -operatør diskuterer det udløbende abonnement og anbefaler derefter offeret at besøge et forfalsket websted, hvor de angiveligt kan annullere abonnementet for at undgå fremtidige månedlige gebyrer.
Microsoft har givet yderligere oplysninger om gruppens brug af ondsindede makroer i Excel-filer til at downloade Cobalt Strike-penetrationstestsættet og få 'hands-on-keyboard' kontrol over et offers maskine og muligheden for at søge i et netværk efter admin- og domæneadministratorkonto info for at eksfiltrere data eller implementere Ryuk eller Conti, en relateret ransomware.
Agenten instruerer offeret i at navigere til kontosiden og annullere abonnementet ved at downloade en fil, som viser sig at være et makroaktiveret Excel-dokument. Callcenteragenten instruerer offeret i at aktivere indhold på Microsofts standardadvarsel i Excel om, at makroer er deaktiveret.
Gruppen bruger, ifølge Microsofts beskrivelse, relativt sofistikerede 'living-off-the-land' (eller misbruger legitime softwareværktøjer) til uhyggelige netværksaktiviteter.
Hvis angriberen finder et mål af høj værdi, bruger de 7-Zip til at arkivere intellektuel ejendomsret-f.eks. oplysninger om sikkerhedsoperationer, økonomi og budgettering-til eksfiltrering.
I tilfælde hvor ransomware blev implementeret efter kompromis, brugte angriberen kompromitterede konti med højt privilegium med Cobalt Strikes PsExec -funktionalitet til at distribuere Ryuk eller Conti ransomware på netværksenheder, ifølge Microsoft.
Relaterede emner:
Microsoft Security TV Data Management CXO Data Centers 