Оператори вимагача 3AM проводять таргетовані атаки на намічені цілі. Хакери бомбардують співробітників організацій листами і телефонують, прикидаючись співробітниками підтримки, щоб змусити користувачів надати облікові дані для віддаленого доступу до корпоративних систем.

Атаки включають надсилання безлічі електронних листів, вішинг (голосовий фішинг) через Microsoft Teams і зловживання Quick Assist. Судячи з усього, витік внутрішніх чатів Black Basta, що стався на початку 2025 року, виявився корисним для інших зловмисників. Адже тепер вони використовують шаблон для фішингових атак через Microsoft Teams і теж видають себе за співробітників ІТ-відділів.

Одна з атак здирника 3AM, спрямована на клієнта Sophos, сталася в першому кварталі 2025 року, тривала дев’ять днів, і хакери використовували аналогічний підхід. Тільки замість Microsoft Teams вони почали з телефонного фішингу.

Таким чином зловмисник переконав співробітника цільової компанії відкрити Microsoft Quick Assist і надати віддалений доступ, нібито для захисту від шкідливої активності. Потім хакер завантажив у систему і розпакував шкідливий архів, що містив VBS-скрипт, емулятор QEMU і образ Windows 7 з бекдором QDoor.

QEMU використовувався для ухилення від виявлення, шляхом маршрутизації мережевого трафіку через віртуальні машини, створені на цій платформі, що дозволило хакерам отримати постійний, але непомічений доступ до мережі цілі.

Для захисту від подібних атак експерти Sophos пропонують проводити аудит облікових записів адміністраторів на предмет низького рівня безпеки, використовувати інструменти XDR для блокування несанкціонованої активності легітимних інструментів (таких як QEMU і GoodSync), а також дозволити виконання тільки підписаних скриптів за допомогою політик виконання PowerShell.

Також рекомендується використовувати відомі індикатори компрометації для створення списків блокування, які зможуть запобігти атакам з відомих шкідливих джерел.