Злоупотребеният инструмент за бърза помощ на Windows може да помогне на участниците в заплахите за рансъмуер Black Basta

Използването на инструменти за отдалечен достъп представлява двойно предизвикателство за предприятията, особено когато се експлоатират от заплахи, владеещи сложни тактики за социално инженерство. Наскоро Microsoft Threat Intelligence подчерта появата на фишинг кампания на Black Basta Ransomware , организирана от финансово мотивирана група, идентифицирана като Storm-1811. Тази група използва социално проектиран подход, маскиран като доверени субекти като поддръжка на Microsoft или вътрешен ИТ персонал, за да склони жертвите да предоставят отдалечен достъп чрез Quick Assist, приложение за Windows, улесняващо отдалечени връзки.

След като се установи доверие и се предостави достъп, Storm-1811 продължава с внедряването на различен зловреден софтуер, което в крайна сметка завършва с разпространението на рансъмуер Black Basta. Методът подчертава лекотата, с която легитимните инструменти за отдалечен достъп могат да бъдат манипулирани от участници в заплахи с умели умения за социално инженерство, заобикаляйки традиционните мерки за сигурност. Тези усъвършенствани тактики за социално инженерство изискват проактивен отговор от екипите за сигурност на предприятието, като се набляга на повишена бдителност и цялостно обучение на служителите.

Начинът на действие на Storm-1811 включва комбинация от вишинг, бомбени имейли и представяне на ИТ персонал с цел измама и компрометиране на потребителите. Нападателите заливат жертвите с имейли, преди да започнат вишинг обаждания, използвайки последвалото объркване, за да принудят жертвите да приемат злонамерени заявки за бърза помощ. Това организирано бомбардиране служи за дезориентиране на жертвите, проправяйки пътя за успешна манипулация и последващо внедряване на зловреден софтуер.

Наблюденията на Microsoft разкриват използването на Storm-1811 на различни зловреден софтуер, включително Qakbot и Cobalt Strike, доставени чрез инструменти за отдалечено наблюдение като ScreenConnect и NetSupport Manager. След като достъпът е установен, нападателите използват скриптови команди за изтегляне и изпълнение на злонамерени полезни натоварвания, запазвайки контрола си върху компрометирани системи. Освен това Storm-1811 използва инструменти като OpenSSH тунелиране и PsExec, за да поддържа постоянство и да внедри рансъмуер Black Basta в мрежи .

За да смекчат подобни атаки, на организациите се препоръчва да деинсталират инструменти за отдалечен достъп, когато не се използват, и да прилагат решения за управление на привилегирован достъп с архитектура с нулево доверие. Редовното обучение на служителите е от първостепенно значение за култивирането на осведоменост относно тактиките на социалното инженерство и фишинг измамите, като дава възможност на служителите да идентифицират и осуетяват потенциални заплахи. Усъвършенстваните имейл решения и наблюдението на събития допълнително укрепват защитите, позволявайки бързо откриване и смекчаване на злонамерени дейности.

Използването на инструменти за отдалечен достъп чрез усъвършенствано социално инженерство подчертава развиващия се пейзаж на кибернетични заплахи. Справянето с тези предизвикателства изисква многостранен подход, включващ технологични защити, обучение на служителите и проактивни мерки за сигурност за защита срещу злонамерена експлоатация.