Злоупотребляемый инструмент быстрой помощи Windows может помочь злоумышленникам-вымогателям Black Basta

Использование инструментов удаленного доступа представляет собой двойную проблему для предприятий, особенно когда они используются злоумышленниками, владеющими сложными тактиками социальной инженерии. Недавно служба Microsoft Threat Intelligence сообщила о появлении фишинговой кампании Black Basta Ransomware , организованной финансово мотивированной группой, известной как Storm-1811. Эта группа использует метод социальной инженерии, маскируясь под доверенных лиц, таких как служба поддержки Microsoft или внутренний ИТ-персонал, чтобы уговорить жертв предоставить удаленный доступ через Quick Assist, приложение Windows, облегчающее удаленные подключения.

Как только доверие установлено и доступ предоставлен, Storm-1811 приступает к развертыванию различных вредоносных программ, что в конечном итоге приводит к распространению программы-вымогателя Black Basta. Этот метод подчеркивает легкость, с которой законными инструментами удаленного доступа могут манипулировать злоумышленники, обладающие навыками социальной инженерии, в обход традиционных мер безопасности. Эти продвинутые тактики социальной инженерии требуют активного реагирования со стороны групп безопасности предприятий, подчеркивающих повышенную бдительность и всестороннее обучение сотрудников.

Методика работы Storm-1811 включает в себя комбинацию вишинга, бомбардировки электронной почты и выдачи себя за ИТ-персонала с целью обмана и компрометации пользователей. Нападавшие забрасывают жертв электронными письмами, прежде чем начать вишинг-звонки, используя возникшую путаницу, чтобы заставить жертв принять вредоносные запросы Quick Assist. Эта организованная бомбардировка дезориентирует жертв, открывая путь для успешных манипуляций и последующего внедрения вредоносного ПО.

Наблюдения Microsoft показывают, что Storm-1811 использует различные вредоносные программы, включая Qakbot и Cobalt Strike, доставляемые через инструменты удаленного мониторинга, такие как ScreenConnect и NetSupport Manager. Как только доступ установлен, злоумышленники используют скриптовые команды для загрузки и выполнения вредоносных полезных данных, сохраняя свой контроль над скомпрометированными системами. Кроме того, Storm-1811 использует такие инструменты, как туннелирование OpenSSH и PsExec, для обеспечения устойчивости и развертывания программы-вымогателя Black Basta в сетях .

Чтобы смягчить такие атаки, организациям рекомендуется удалять инструменты удаленного доступа, когда они не используются, и внедрять решения по управлению привилегированным доступом с архитектурой нулевого доверия. Регулярное обучение сотрудников имеет первостепенное значение для повышения осведомленности о тактиках социальной инженерии и фишинга, позволяя сотрудникам выявлять и предотвращать потенциальные угрозы. Передовые решения электронной почты и мониторинг событий еще больше укрепляют защиту, позволяя быстро обнаруживать и смягчать вредоносные действия.

Использование инструментов удаленного доступа с помощью сложной социальной инженерии подчеркивает меняющуюся картину киберугроз. Решение этих проблем требует многогранного подхода, включающего технологическую защиту, обучение сотрудников и упреждающие меры безопасности для защиты от злонамеренной эксплуатации.