СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
02.07.2025
#ИБ#Инфра#Облака

Анализ кибератак Black Basta: социальная инженерия через Microsoft Teams

Анализ кибератак Black Basta: социальная инженерия через Microsoft Teams

Атаки Black Basta: новая волна угроз через Microsoft Teams и вредоносное ПО DarkGate

В декабре 2024 года специалисты Orange Cyberdefense CyberSOC зафиксировали серию кибератак, основанных на сложной комбинации взлома электронной почты и социальной инженерии через платформу Microsoft Teams. Эти атаки связаны с группировкой Black Basta, которая после утраты серверов QBot в 2023 году перешла к использованию вредоносного ПО DarkGate в качестве основного инструмента заражения.

Особенности и этапы атак

Анализ инцидентов выявил четкую закономерность, характерную для действий злоумышленников:

  • Начальная точка проникновения: взлом аккаунтов электронной почты и рассылка спама. Так, в одном из случаев в течение получаса было отправлено около 200 вредоносных сообщений.
  • Социальная инженерия через Microsoft Teams: злоумышленники связывались с жертвами под маской доверенных лиц, например, используя отображаемое имя «Менеджер службы поддержки».
  • Использование Microsoft Defender: первые индикаторы могли проявляться как уведомления о подозрительных действиях в облачных приложениях, что дает возможность обнаруживать атаки на ранних этапах.
  • Доставка вредоносного ПО: пользователю предлагается сеанс быстрой помощи, в ходе которого предоставляется защищенный паролем ZIP-архив с набором вредоносных программ, включая DarkGate и Lumma Stealer.
  • Устойчивость вредоносного ПО: DarkGate вносит изменения в системный реестр, запускает кейлоггинг и осуществляет многочисленные попытки подключения к серверам управления (C2), демонстрируя сложные методы обхода защиты.
  • Использование инструментов обхода защиты: злоумышленники применяют PowerShell и другие скриптовые интерфейсы для повторной доставки вредоносного кода.

Технические детали атак и используемые инструменты

Вредоносное ПО DarkGate играет ключевую роль в реализации атак. Помимо кейлоггинга, эта программа обеспечивает устойчивое присутствие на зараженных системах и организует регулярное взаимодействие с серверами управления, что затрудняет своевременное обнаружение и блокирование.

Lumma Stealer также входит в арсенал злоумышленников, но его эффективность ограничена из-за защитных механизмов окружения, которые препятствуют успешному подключению к C2-серверам, маскирующимся под профиль сообщества Steam.

Инструмент ScreenConnect используется для повышения привилегий и незаметного запуска вредоносных скриптов, что значительно расширяет возможности злоумышленников внутри сети жертвы.

Организация атак и методы координации

Утечки сообщений между участниками Black Basta свидетельствуют о скоординированной и хорошо организованной структуре, где совмещаются спам-рассылки и многоуровневая социальная инженерия. Это позволяет группе оперативно масштабировать атаки и поддерживать высокий уровень эффективности.

Рекомендации по защите

Для противодействия подобным угрозам экспертами Orange Cyberdefense рекомендованы следующие меры:

  • Внедрение многоуровневой стратегии безопасности, включая настройку строгих правил использования RMM-инструментов (Remote Monitoring and Management).
  • Ограничение взаимодействия в Microsoft Teams с внешними пользователями путем соответствующей настройки платформы.
  • Применение белых списков для одобренных доменов, что существенно снижает риск взаимодействия с вредоносными ресурсами.
  • Внедрение комплексных решений по обнаружению угроз с непрерывным мониторингом корпоративной сети для своевременной идентификации и реагирования на инциденты.
  • Интеграция Microsoft Defender и аналогичных средств безопасности на различных платформах для эффективного выявления различных этапов атак.

Подчеркивая важность комплексного подхода, специалисты отмечают: «Современные атакующие используют комбинацию технических средств и методов социальной инженерии, что требует от организаций соответствующего уровня готовности и проактивности в области безопасности».

Таким образом, повышение осведомленности пользователей, усиление контроля над внешними коммуникациями и внедрение современных защитных технологий являются ключевыми факторами в борьбе с продвинутыми киберугрозами подобного рода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: