今年勒索軟體駭客Black Basta的動作頻頻，其中發生在今年5月的美國大型醫療照護系統Ascension事故最為受到關注，美國網路安全暨基礎設施安全域性（CISA）與聯邦調查局（FBI）當時特別提出警告，如今這群駭客也結合社交工程手法，引誘使用者上當，從而入侵企業組織的內部網路環境從事後續攻擊行動。

資安業者ReliaQuest指出，他們在10月下旬看到駭客使用的戰術、手段、流程（TTP）出現顯著的變化。

首先，發動大規模垃圾郵件攻擊後，上鉤的使用者就會被引至與特定微軟Teams用戶交談，攻擊者通常會透過貌似微軟技術支援人員、管理者、服務臺成員的Entra ID帳號登入微軟Teams，而且在Teams用戶身分顯示沿用這些名稱，使一般人誤以為他們是微軟的這些工作人員，而且，駭客通常會將帳號的顯示名稱設置為含有Help Desk的字串，聊天室的名稱多半是OneOnOne。

研究人員指出，攻擊者主要來自俄羅斯，根據Teams的事件記錄的時區資料，他們大多位於莫斯科。

Teams群組裡麵會發生什麼事？對方試圖引誘目標用戶使用QuickAssist尋求支援，但也有使用AnyDesk的情況，此外，駭客會在Teams對話提供偽造合法品牌的QR Code條碼，但這些條碼的用途目前仍不清楚。研究人員推測，攻擊者有意藉此引誘使用者存取惡意基礎設施。

假如使用者照做，攻擊者就有機會藉由上述的遠端管理工具（RMM）控制受害電腦，並植入AntispamAccount.exe、AntispamUpdate.exe、AntispamConnectUS.exe等有效酬載，最終部署滲透測試工具Cobalt Strike，以便將受害電腦當作存取企業內部網路環境的跳板。