باج‌افزار ۳AM با تماس‌های جعلی IT و Email Bombing شبکه‌ها را هدف قرار می‌دهد.

یک affiliate از باج‌افزار ۳AM در حال انجام حملاتی بسیار هدفمند است و از email bombing و تماس‌های جعلی پشتیبانی IT (spoofed IT support calls) استفاده می‌کند تا با مهندسی اجتماعی، کارکنان را ترغیب به ارائه‌ی اطلاعات ورود برای دسترسی از راه دور به سیستم‌های سازمانی کند.

این تاکتیک پیش‌تر به باند باج‌افزاری Black Basta نسبت داده شده بود و بعدها در حملات گروه FIN7 نیز مشاهده شد، اما کارایی بالای آن باعث شده است مهاجمان بیشتری این روش را به کار بگیرند.

گزارش Sophos نشان می‌دهد که حداقل ۵۵ حمله با بهره‌گیری از این تکنیک بین نوامبر ۲۰۲۴ و ژانویه ۲۰۲۵ شناسایی شده است که به دو threat clusters مجزا مرتبط هستند.

این حملات طبق الگوی Black Basta انجام شده‌اند و شامل email bombing، تماس‌های vishing از طریق Microsoft Teams و سوءاستفاده از ابزار Quick Assist بوده‌اند. افشای مکالمات داخلی گروه Black Basta به سایر مهاجمان کمک کرد تا با سرعت بیشتری از این روش‌ها استفاده کنند، چرا که این اطلاعات شامل یک قالب برای حملات phishing در Microsoft Teams و جعل هویت help desk بود.

حمله‌ی ۳AM ransomware که یکی از مشتریان Sophos را هدف قرار داد، در سه‌ماهه‌ی اول سال ۲۰۲۵ رخ داد و از رویکردی مشابه بهره برد، اما با تفاوتی مهم: به‌جای استفاده از Microsoft Teams، مهاجمان از تماس‌های واقعی phone phishing استفاده کردند.

مهاجمان شماره‌ی واقعی بخش IT قربانی را جعل کردند تا تماس آن‌ها معتبر به نظر برسد. این تماس همزمان با موجی از email bombing شامل ۲۴ ایمیل ناخواسته طی سه دقیقه صورت گرفت.

حمله‌کننده توانست کارمند را متقاعد کند که ابزار Microsoft Quick Assist را باز کند و دسترسی از راه دور بدهد؛ ظاهراً برای واکنش به فعالیت‌های مخرب شناسایی‌شده.

در ادامه، مهاجم یک آرشیو مخرب را از یک دامنه جعلی دانلود و استخراج کرد؛ این آرشیو شامل یک اسکریپت VBS، شبیه‌ساز QEMU و یک تصویر Windows 7 از پیش آلوده به QDoor backdoor بود.

مهاجم از QEMU برای دور زدن شناسایی استفاده کرد و ترافیک شبکه را از طریق ماشین‌های مجازی ایجادشده روی این پلتفرم هدایت کرد و به این ترتیب توانست دسترسی پایدار و بدون شناسایی به شبکه داشته باشد.

به این وسیله، مهاجمان عملیات شناسایی (reconnaissance) را با ابزارهای WMIC و PowerShell انجام دادند، یک حساب مدیر محلی ایجاد کردند تا از طریق RDP وصل شوند، ابزار مدیریت از راه دور تجاری XEOXRemote را نصب کردند و در نهایت به یک حساب مدیر دامنه (domain administrator) نفوذ کردند.

با وجود اینکه Sophos اعلام کرد محصولاتش جلوی حرکت جانبی (lateral movement) و تلاش برای غیرفعال‌سازی دفاع‌ها را گرفتند، مهاجم موفق شد ۸۶۸ گیگابایت داده را با استفاده از ابزار GoodSync به فضای ذخیره‌سازی ابری Backblaze منتقل کند.

ابزارهای Sophos همچنین تلاش‌های بعدی برای اجرای ابزار رمزگذاری باج‌افزار ۳AM را مسدود کردند، بنابراین خسارت واردشده محدود به سرقت داده‌ها و رمزگذاری همان میزبان آلوده شد.

این حمله به مدت ۹ روز ادامه داشت؛ سرقت داده‌ها تا روز سوم به پایان رسید و پس از آن، مهاجمان از گسترش بیشتر در شبکه مسدود شدند.

Sophos چندین گام کلیدی دفاعی برای مسدودسازی این حملات پیشنهاد کرده است، از جمله: ممیزی حساب‌های کاربری مدیریتی به‌منظور شناسایی ضعف‌های امنیتی، استفاده از ابزارهای XDR برای مسدودسازی ابزارهای مشروع اما بدون مجوز مانند QEMU و GoodSync، و اعمال سیاست‌های اجرای PowerShell به‌گونه‌ای که تنها اسکریپت‌های امضاشده (signed scripts) مجاز به اجرا باشند.

همچنین توصیه می‌شود از شاخص‌های موجود نفوذ (indicators of compromise – IoCs) برای تنظیم لیست‌های مسدودی (blocklists) استفاده شود تا از ورود تهدیدات شناخته‌شده جلوگیری شود.

در نهایت، حملات email bombing و voice phishing تنها زمانی می‌توانند به‌طور مؤثر مسدود شوند که آگاهی کارکنان افزایش یابد.

عملیات باج‌افزار ۳AM اواخر سال ۲۰۲۳ آغاز شد و بعدها با باندهای باج‌افزاری Conti و Royal مرتبط شد.