今年勒索软件黑客Black Basta的动作频频，其中发生在今年5月的美国大型医疗照护系统Ascension事故最为受到关注，美国网络安全暨基础设施安全局（CISA）与联邦调查局（FBI）当时特别提出警告，如今这群黑客也结合社交工程手法，引诱用户上当，从而入侵企业组织的内部网络环境从事后续攻击行动。

资安业者ReliaQuest指出，他们在10月下旬看到黑客使用的战术、手段、流程（TTP）出现显著的变化。

首先，发动大规模垃圾邮件攻击后，上钩的用户就会被引至与特定微软Teams用户交谈，攻击者通常会通过貌似微软技术支持人员、管理者、服务台成员的Entra ID帐号登录微软Teams，而且在Teams用户身分显示沿用这些名称，使一般人误以为他们是微软的这些工作人员，而且，黑客通常会将帐号的显示名称设置为含有Help Desk的字符串，聊天室的名称多半是OneOnOne。

研究人员指出，攻击者主要来自俄罗斯，根据Teams的事件记录的时区数据，他们大多位于莫斯科。

Teams群组里面会发生什么事？对方试图引诱目标用户使用QuickAssist寻求支持，但也有使用AnyDesk的情况，此外，黑客会在Teams对话提供伪造合法品牌的QR Code条码，但这些条码的用途目前仍不清楚。研究人员推测，攻击者有意借此引诱用户存取恶意基础设施。

假如用户照做，攻击者就有机会借由上述的远程管理工具（RMM）控制受害电脑，并植入AntispamAccount.exe、AntispamUpdate.exe、AntispamConnectUS.exe等有效酬载，最终部署渗透测试工具Cobalt Strike，以便将受害电脑当作存取企业内部网络环境的跳板。