يمكن لأداة المساعدة السريعة التي تمت إساءة استخدامها في Windows أن تساعد الجهات الفاعلة في تهديد برنامج Black Basta Ransomware

يمثل استخدام أدوات الوصول عن بعد تحديًا مزدوجًا للمؤسسات، لا سيما عندما يتم استغلالها من قبل جهات التهديد الماهرة في تكتيكات الهندسة الاجتماعية المتطورة. في الآونة الأخيرة، سلطت Microsoft Threat Intelligence الضوء على ظهور حملة تصيد احتيالي لـ Black Basta Ransomware نظمتها مجموعة ذات دوافع مالية تُعرف باسم Storm-1811. تستخدم هذه المجموعة نهجًا مصممًا اجتماعيًا، حيث تتنكر في شكل كيانات موثوقة مثل دعم Microsoft أو موظفي تكنولوجيا المعلومات الداخليين، لإقناع الضحايا بمنح الوصول عن بعد عبر Quick Assist، وهو تطبيق Windows يسهل الاتصالات عن بعد.

بمجرد إنشاء الثقة ومنح الوصول، يشرع Storm-1811 في نشر العديد من البرامج الضارة، مما يؤدي في النهاية إلى توزيع برنامج طلب الفدية Black Basta. وتؤكد هذه الطريقة على السهولة التي يمكن بها التلاعب بأدوات الوصول المشروعة عن بعد من قبل جهات التهديد التي تتمتع بمهارات الهندسة الاجتماعية البارعة، متجاوزة التدابير الأمنية التقليدية. تتطلب تكتيكات الهندسة الاجتماعية المتقدمة هذه استجابة استباقية من فرق أمان المؤسسة، مع التركيز على اليقظة المتزايدة والتدريب الشامل للموظفين.

تتضمن طريقة عمل Storm-1811 مزيجًا من التصيد الاحتيالي وتفجير البريد الإلكتروني وانتحال هوية موظفي تكنولوجيا المعلومات لخداع المستخدمين والتسوية معهم. يقوم المهاجمون بإغراق الضحايا برسائل البريد الإلكتروني قبل بدء مكالمات التصيد الاحتيالي، واستغلال الارتباك الناتج عن ذلك لإجبار الضحايا على قبول طلبات المساعدة السريعة الخبيثة. ويعمل هذا القصف المنسق على إرباك الضحايا، مما يمهد الطريق للتلاعب الناجح بالبرامج الضارة ونشرها لاحقًا.

تكشف ملاحظات Microsoft عن استخدام Storm-1811 للعديد من البرامج الضارة، بما في ذلك Qakbot وCobalt Strike، والتي يتم تسليمها من خلال أدوات المراقبة عن بعد مثل ScreenConnect وNetSupport Manager. بمجرد إنشاء الوصول، يستخدم المهاجمون أوامر مكتوبة لتنزيل الحمولات الضارة وتنفيذها، مما يديم سيطرتهم على الأنظمة المخترقة. بالإضافة إلى ذلك، يعمل Storm-1811 على تعزيز أدوات مثل نفق OpenSSH وPsExec للحفاظ على الثبات ونشر برنامج الفدية Black Basta عبر الشبكات .

وللتخفيف من مثل هذه الهجمات، ننصح المؤسسات بإلغاء تثبيت أدوات الوصول عن بعد عندما لا تكون قيد الاستخدام وتنفيذ حلول إدارة الوصول إلى الامتيازات باستخدام بنية الثقة المعدومة. يعد التدريب المنتظم للموظفين أمرًا بالغ الأهمية في تنمية الوعي بأساليب الهندسة الاجتماعية وعمليات التصيد الاحتيالي، وتمكين الموظفين من تحديد التهديدات المحتملة وإحباطها. تعمل حلول البريد الإلكتروني المتقدمة ومراقبة الأحداث على تعزيز الدفاعات، مما يتيح الكشف الفوري عن الأنشطة الضارة والتخفيف من آثارها.

ويسلط استغلال أدوات الوصول عن بعد من خلال الهندسة الاجتماعية المتطورة الضوء على المشهد المتطور للتهديدات السيبرانية. تتطلب معالجة هذه التحديات اتباع نهج متعدد الأوجه يشمل الدفاعات التكنولوجية، وتعليم الموظفين، والتدابير الأمنية الاستباقية للحماية من الاستغلال الضار.