被濫用的 Windows 快速輔助工具可以幫助 Black Basta 勒索軟體威脅行為者

遠端存取工具的使用給企業帶來了雙重挑戰，特別是當被精通複雜社會工程策略的威脅行為者利用時。最近，微軟威脅情報重點關注了Black Basta 勒索軟體網路釣魚活動的出現，該活動由一個名為 Storm-1811 的經濟動機組織精心策劃。該組織採用社會工程方法，偽裝成 Microsoft 支援人員或內部 IT 人員等可信任實體，誘騙受害者透過 Quick Assist（一種促進遠端連線的 Windows 應用程式）授予遠端存取權限。

一旦建立信任並授予存取權限，Storm-1811 就會繼續部署各種惡意軟體，最終傳播 Black Basta 勒索軟體。該方法強調了具有熟練社會工程技能的威脅行為者可以輕鬆操縱合法的遠端存取工具，繞過傳統的安全措施。這些先進的社會工程策略需要企業安全團隊積極回應，強調提高警覺和全面的員工培訓。

Storm-1811 的作案手法結合了語音釣魚、電子郵件轟炸和冒充 IT 人員來欺騙和危害用戶。攻擊者在發起釣魚電話之前向受害者發送大量電子郵件，利用隨之而來的混亂迫使受害者接受惡意的快速協助請求。這種精心策劃的轟炸會讓受害者迷失方向，為成功操縱和隨後部署惡意軟體鋪平道路。

Microsoft 的觀察顯示 Storm-1811 使用各種惡意軟體，包括 Qakbot 和 Cobalt Strike，透過 ScreenConnect 和 NetSupport Manager 等遠端監控工具傳送。一旦建立存取權限，攻擊者就會使用腳本命令下載並執行惡意負載，從而永久控制受感染的系統。此外，Storm-1811 利用 OpenSSH 隧道和 PsExec 等工具來維持持久性並跨網路部署 Black Basta 勒索軟體。

為了減輕此類攻擊，建議組織在不使用時卸載遠端存取工具，並採用零信任架構實施權限存取管理解決方案。定期的員工培訓對於培養社會工程策略和網路釣魚詐騙的意識至關重要，使員工能夠識別和阻止潛在威脅。先進的電子郵件解決方案和事件監控進一步強化防禦，從而能夠及時偵測和緩解惡意活動。

透過複雜的社會工程對遠端存取工具的利用凸顯了網路威脅不斷變化的格局。應對這些挑戰需要採取多方面的方法，包括技術防禦、員工教育和主動安全措施，以防止惡意利用。