One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8601779 |
| Date de publication | 2024-10-25 20:03:35 (vue: 2024-10-25 21:12:48) |
| Titre | Reliaquest découvre une nouvelle technique d'ingénierie sociale Black Basta ReliaQuest Uncovers New Black Basta Social Engineering Technique |
| Texte | ## Instantané In October 2024, ReliaQuest identified a trend of advanced social engineering tactics attributed to the ransomware group [Black Basta](https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3bed8d726). ## Description S'appuyant à l'origine sur le spam de courrier électronique de masse pour inciter les victimes à créer des billets d'assistance, Black Basta a désormais augmenté pour utiliser les messages des équipes Microsoft, usurpant l'identité du personnel d'assistance à partir de comptes externes.Ces faux profils d'équipes visent à inciter les utilisateurs à installer des outils de surveillance et de gestion à distance (RMM) ou à numériser des codes QR malveillants, à donner aux attaquants un accès initial à des environnements ciblés. Leurs dernières attaques inondent les utilisateurs avec des e-mails de spam - plus de 1 000 en une heure dans un cas avant de passer à des chats d'équipes, en utilisant des locataires trompeurs d'identification ENTRA tels que "supportServiceadmin.onmicrosoft.com".Les codes QR sont également exploités par les attaquants dans ces chats, fabriqués pour paraître légitimes, tandis que des domaines comme "QR-S1 \ [. \] Com" imitent la marque de l'entreprise pour d'autres tentatives de phishing.L'objectif de Black Basta \\ est le déploiement des ransomwares, avec des tactiques telles que l'installation de AnyDesk permettant aux attaquants d'installer de faux fichiers "anti-spam" qui collectent des informations d'identification ou se sont répandus sur les réseaux. Selon Reliaquest, les activités du groupe sont de plus en plus difficiles à défendre, mettant en évidence un besoin urgent de vigilance autour des équipes et de la sécurité des comptes de messagerie.Reconnaissant ce modèle d'indicateurs d'attaque comme des noms d'affichage spécifiques en équipes ou des sujets de messagerie thématique-canet des organisations à détecter et à atténuer les techniques évolutives de Black Basta \\ avant que des dommages substantiels ne soient causés. ## Analyse Microsoft et contexte OSINT supplémentaire [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) est une offre de ransomes fermée et non ouverte). ibuté par un petit nombre de menacesLes acteurs qui comptent sur d'autres acteurs de menace pour l'accès initial, les infrastructures malveillantes, le développement de logiciels malveillants, etc.Depuis que Black Basta est apparu pour la première fois en avril 2022, les attaquants de Basta Blast ont déployé le ransomware après avoir reçu l'accès de Qakbot et d'autres distributeurs de logiciels malveillants.Cette relation démontre l'évolution bien établie des chevaux de Troie répandus comme Qakbot et Trickbot, d'être des logiciels malveillants de marchandises à la mise en place de ransomwares, et la nécessité pour les organisations de se concentrer sur les étapes d'attaque avant le déploiement des ransomwares, pour réduire la menace. Microsoft suit un certain nombre d'acteurs de menace connus pour déployer Black Basta, notamment [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b), [Storm-0506](https://security.microsoft.com/intel-profiles/ffe489b3f6c378d8a86f821af0f53814e8d5c7630fc041273972d9b824ef0312), and [Storm-0826](https://security.microsoft.com/intel-profiles/5f5cd00b66c3640b3211f2ae748a9fcca866572a5c44668c66e99f2aadb7225b). ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Éduquer les utilisateurs sur [Prévenir les infections des logiciels malveillants] (https://www.microsoft.com/security/business/security-101/what-is-malware?ocid=magicti_ta_abbreviatedmktgpage "% 20 \ t% 20" _blank), commeIgnorer ou supprimer des e-mails ou des piè |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 000 0506 0826 101/what 1811 2022 2024 2024** 2147132479 2147142676 2147149077 365 365/security/defender/microsoft 46bb 496d 5ab5 7ca2d4e30156/overview aa&threatid= abbreviatedmktgpage about abuse access accesseed accessing according account accounts across action activities actors ad3c additional advanced after against aim alert alerts all allow allowing also analysis anti antivirus any anydesk appeared applications apply april are around artifacts assist assist#disable attachments attack attacker attackers attacks attempts attributed automated b&threatid= based basta bb79 before behavior:win32/basta behind being best black blank block blocking branding breach breaches brings bv&threatid= c6a795a33c27/analystreport calls can card case center centralizing changes chats check closed cloud codes collect com com/blog/black com/en com/intel com/microsoft com/security/business/security com/threatanalytics3/05658b6c com/threatanalytics3/44b8f927 com/wdsi/threats/malware commodity company components consider content context copyright cover crafted create credentials damage dc62 deceptive defend defender deleting delivered demonstrates deploy deployed deployment description desk detect detected detections/hunting detects development device devices difficult discovery display distributed distribution distributors doesn domains done edr educate email emails enable encyclopedia endpoint endpoint/automated endpoint/configure endpoint/device endpoint/edr endpoint/enable endpoint/prevent engineering entra environment environments equivalent escalated established even evolution evolving exclusive external fake features files finding first flood focus following footholds from full further general giving goal group hardening has have help highlighting hour https://learn https://security https://www huge human identified identities ignoring immediate impact impersonating incident including incoming increase increasingly indicators infections infrastructure initial install installation installing instant internet invest investigation investigations known latest learndoc learning legitimate leveraged like likely listed look machine majority malicious malware malware: management management/client marketed mass mdo messages messaging microsoft mimic mitigate mitigations mode monitor monitored monitoring more most moving name=behavior:win32/basta name=ransom:win32/basta name=trojan:win32/basta names need network networks new non not now number ocid=magicti october offering office onboarding one onmicrosoft openly operated organization organizations originally osint other over overview part passive pattern permission phishing phone post practices prevalent prevent preventing prior proactively product profile profiles profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3bed8d726 profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b profiles/5f5cd00b66c3640b3211f2ae748a9fcca866572a5c44668c66e99f2aadb7225b profiles/ffe489b3f6c378d8a86f821af0f53814e8d5c7630fc041273972d9b824ef0312 prohibited prompt protection protections qakbot queries quick ransom:win32/basta ransomware rapidly receiving recognizing recommendations reduce reducing refer references relationship reliaquest rely relying remediate remediation remote reproduction reserved resolve rights rmm run running safeguard safer scanning scenes security sent service services serving settings sight significantly since site small snapshot social solutions that spam specific spread staff stages status stopping storm subjects substantial such support supportserviceadmin suspicious tactics take tamper targeted teams teams/ technique techniques tenants them themed thereof these threat threats through tickets together tools tools/quick tracks trend trick trickbot trojan:win32/basta trojans turn uncovers unexpected uninstalling unknown unmanaged unsolicited urgent us/defender us/microsoftteams/teams us/windows/client use users using variants victims vigilance visibility visited volume websites well when who within without works written your |
| Tags | Ransomware Spam Malware Tool Threat Prediction |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.