Je me permets de relayer un article concernant les attaques potentielles récentes sur Microsoft Teams. Pour les entreprises dont les entreprises ont la capacité d’installer par eux même des applications, elles pourraient être concernées.
Afin de limiter le risquer pensez à fermer l’option Teams qui permet à vos utilisateurs de communiquer avec des Tenants de test et si vous êtes en capacité de le faire, n’autoriser dans l’administration Teams uniquement les domaines externes avec qui vous communiquer.
Dans les rapports d’usage de Teams vous pouvez obtenir la liste des domaines externes avec lesquels vos utilisateurs ont l’habitude de travailler.
Cordialement
Laurent TERUIN
Article original : Black Basta ransomware poses as IT support on Microsoft Teams to breach networks
L’opération de ransomware BlackBasta a déplacé ses attaques d’ingénierie sociale vers Microsoft Teams, se faisant passer pour des services d’assistance d’entreprise contactant les employés pour les aider à faire face à une attaque de spam en cours.
Black Basta est une opération de ransomware active depuis avril 2022 et responsable de centaines d’attaques contre des entreprises dans le monde entier.
Après la fermeture du syndicat de cybercriminalité Conti en juin 2022 à la suite d’une série de violations de données embarrassantes , l’opération s’est divisée en plusieurs groupes , l’une de ces factions étant censée être Black Basta.
Les membres de Black Basta pénètrent dans les réseaux par diverses méthodes, notamment les vulnérabilités , le partenariat avec des botnets de logiciels malveillants et l’ingénierie sociale.
En mai, Rapid7 et ReliaQuest ont publié des alertes concernant une nouvelle campagne d’ingénierie sociale Black Basta qui a inondé les boîtes de réception des employés ciblés avec des milliers d’e-mails. Ces e-mails n’étaient pas de nature malveillante, se composant principalement de newsletters, de confirmations d’inscription et de vérifications d’e-mails, mais ils ont rapidement submergé la boîte de réception d’un utilisateur.
Les acteurs de la menace appelleraient alors l’employé débordé , se faisant passer pour le service d’assistance informatique de son entreprise pour l’aider à résoudre ses problèmes de spam.
Au cours de cette attaque d’ingénierie sociale vocale, les attaquants incitent la personne à installer l’outil d’assistance à distance AnyDesk ou à fournir un accès à distance à ses appareils Windows en lançant l’outil de contrôle à distance et de partage d’écran Windows Quick Assist.
À partir de là, les attaquants exécuteraient un script qui installe diverses charges utiles, telles que ScreenConnect, NetSupport Manager et Cobalt Strike, qui fournissent un accès à distance continu à l’appareil d’entreprise de l’utilisateur.
Maintenant que la filiale de Black Basta a eu accès au réseau de l’entreprise, elle se propagerait latéralement vers d’autres appareils tout en élevant les privilèges, en volant des données et en déployant finalement le crypteur de ransomware.
Passer à Microsoft Teams
Dans un nouveau rapport de ReliaQuest, les chercheurs ont observé que les affiliés de Black Basta ont fait évoluer leurs tactiques en octobre en utilisant désormais Microsoft Teams.
Comme lors de l’attaque précédente, les acteurs de la menace submergent d’abord la boîte de réception d’un employé avec des e-mails.
Cependant, au lieu de les appeler, les attaquants contactent désormais les employés via Microsoft Teams en tant qu’utilisateurs externes, où ils se font passer pour le service d’assistance informatique de l’entreprise contactant l’employé pour l’aider à résoudre son problème de spam.
Les comptes sont créés sous des locataires Entra ID qui sont nommés pour apparaître comme des services d’assistance, comme :
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
« Ces utilisateurs externes définissent leurs profils sur un « DisplayName » conçu pour faire croire à l’utilisateur ciblé qu’il communique avec un compte d’assistance technique », explique le nouveau rapport ReliaQuest .
« Dans presque tous les cas que nous avons observés, le nom d’affichage comprenait la chaîne « Help Desk », souvent entourée de caractères d’espacement, ce qui est susceptible de centrer le nom dans la discussion. Nous avons également observé que, généralement, les utilisateurs ciblés étaient ajoutés à une discussion « OneOnOne ». »
ReliaQuest affirme avoir également constaté que les acteurs malveillants envoyaient des codes QR dans les chats, qui mènent à des domaines tels que qr-s1[.]com. Cependant, ils n’ont pas pu déterminer à quoi servaient ces codes QR.
Les chercheurs affirment que les utilisateurs externes de Microsoft Teams proviennent de Russie, les données du fuseau horaire étant régulièrement celles de Moscou.
L’objectif est de tromper une fois de plus la cible pour qu’elle installe AnyDesk ou lance Quick Assist afin que les acteurs de la menace puissent accéder à distance à leurs appareils.
Une fois connectés, les acteurs de la menace ont été vus en train d’installer des charges utiles nommées « AntispamAccount.exe », « AntispamUpdate.exe » et « AntispamConnectUS.exe ».
D’autres chercheurs ont signalé AntispamConnectUS.exe sur VirusTotal comme étant SystemBC , un malware proxy que Black Basta a utilisé dans le passé .
Finalement, Cobalt Strike est installé, offrant un accès complet à l’appareil compromis pour servir de tremplin pour pénétrer plus loin dans le réseau.
ReliaQuest suggère aux organisations de restreindre les communications des utilisateurs externes dans Microsoft Teams et, si nécessaire, de les autoriser uniquement à partir de domaines approuvés. La journalisation doit également être activée, en particulier pour l’événement ChatCreated, pour détecter les conversations suspectes.
Travailler ensemble 
1 commentaire