Microsoft varnar för att BazarCall (eller Bazacall) callcenter -malware fungerar faktiskt är farligare än man först trodde, med initiala attacker som potentiellt kan leda till ransomware -attacker inom 48 timmar.
Gruppen hade riktat in sig på Office 365/Microsoft 365 -kunder med phishing -e -postmeddelanden angående 'utgående' falska prövningsprenumerationer som lurar målet till att ringa ett callcenter för att chatta med en operatör, som sedan försöker lura offret för att installera Bazacall -bakdörren.
Microsoft 365 Defender Threat Intelligence Team uppmärksammade gruppen i juni, som ZDNet rapporterade vid den tiden, och i ett nytt inlägg beskriver det hur det är ett farligare hot än tidigare rapporterat, så att angriparna kan distribuera ransomware eller stjäla data inom 48 timmar efter infektion.
“Förutom att ha bakdörrskapacitet ger BazaLoader nyttolast från dessa kampanjer också en fjärrstyrd angripare hands-on-keyboard-kontroll på en påverkad användares enhet, vilket möjliggör en snabb nätverkskompromiss”, säger Microsoft-teamet .
“Enligt vår observation kan attacker som härrör från BazaCall -hotet röra sig snabbt inom ett nätverk, genomföra omfattande datafiltrering och legitimationsstöld och distribuera ransomware inom 48 timmar efter den första kompromissen.”
BazaCall -gruppen har tydligen samarbetade med gruppen bakom Ryuk -ransomware, som har tjänat cirka 150 miljoner dollar i Bitcoin från sina attacker.
Några anmärkningsvärda skillnader med BazaCall -gruppens taktik inkluderar att de inte använder nätfiskelänkar eller skickar skadliga bilagor, vilket hjälper till att undvika klassiska upptäcktssystem. Tekniken är närmare callcenterbedrägerier och offer är också kopplade till en mänsklig operatör.
“Hands-on-keyboard-kontroll gör detta hot farligare och mer undvikande än traditionella, automatiska malware-attacker”, varnar Microsoft.
Callcentret och e-postuppsökande delar av verksamheten verkar rimligt välorganiserad. Medan ämnesrader i e-postmeddelanden upprepas, märks varje e-postmeddelande med en unik alfanumerisk sträng, vilket skapar ett användar-ID eller en transaktionskod för att identifiera offret för flera samtal.
Den första callcenteroperatören diskuterar prenumerationen som löper ut och rekommenderar sedan offret att besöka en falsk webbplats där de förmodligen kan säga upp prenumerationen för att undvika framtida månadsavgifter.
Microsoft har tillhandahållit ytterligare information om gruppens användning av skadliga makron i Excel-filer för att ladda ner Cobalt Strike-penetrationstestkit och få “hands-on-keyboard” -kontroll över offrets maskin och möjligheten att söka i ett nätverk efter admin- och domänadministratörskonto info för att exfiltrera data eller distribuera Ryuk eller Conti, en relaterad ransomware.
Agenten instruerar offret att navigera till kontosidan och avbryta prenumerationen genom att ladda ner en fil, vilket visar sig vara ett makroaktiverat Excel-dokument. Callcenteragenten instruerar offret att aktivera innehåll i Microsofts standardvarning i Excel om att makron har inaktiverats.
Gruppen använder, enligt Microsofts beskrivning, relativt sofistikerade '' att leva utanför landet '' (eller missbruka legitima mjukvaruverktyg) för elaka nätverksaktiviteter.
Om angriparen hittar ett mål med högt värde, använder de 7-Zip för att arkivera immateriell egendom – till exempel information om säkerhetsåtgärder, ekonomi och budgetering – för exfiltrering.
I fall där ransomware distribuerades efter kompromiss, använde angriparen komprometterade konton med höga privilegier med Cobalt Strikes PsExec -funktionalitet för att distribuera Ryuk- eller Conti -ransomware på nätverksenheter, enligt Microsoft.
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Center 