Zneužívaný nástroj Windows Quick Assist Tool by mohl pomoci Black Basta Ransomware Threat Actors

Využití nástrojů pro vzdálený přístup představuje pro podniky dvojí výzvu, zejména když je využívají aktéři hrozeb, kteří jsou zdatní v sofistikovaných taktikách sociálního inženýrství. Nedávno společnost Microsoft Threat Intelligence upozornila na vznik phishingové kampaně Black Basta Ransomware organizované finančně motivovanou skupinou identifikovanou jako Storm-1811. Tato skupina využívá sociálně inženýrský přístup, který se vydává za důvěryhodné subjekty, jako je podpora společnosti Microsoft nebo interní pracovníci IT, aby přesvědčil oběti, aby udělily vzdálený přístup prostřednictvím aplikace Quick Assist, která umožňuje vzdálená připojení.

Jakmile je navázána důvěra a udělen přístup, Storm-1811 pokračuje v nasazování různého malwaru, což nakonec vyvrcholí distribucí ransomwaru Black Basta. Metoda podtrhuje snadnost, s jakou mohou být legitimní nástroje vzdáleného přístupu manipulovány aktéry hrozeb se zběhlými dovednostmi sociálního inženýrství a obcházejí tradiční bezpečnostní opatření. Tyto pokročilé taktiky sociálního inženýrství vyžadují proaktivní reakci ze strany podnikových bezpečnostních týmů s důrazem na zvýšenou ostražitost a komplexní školení zaměstnanců.

Modus operandi Storm-1811 zahrnuje kombinaci vishingu, e-mailového bombardování a vydávání se za IT personál s cílem oklamat a kompromitovat uživatele. Útočníci zaplavují oběti e-maily před zahájením vishingových hovorů, přičemž následného zmatku využívají k donucení obětí, aby přijaly škodlivé žádosti o rychlou pomoc. Toto řízené bombardování slouží k dezorientaci obětí a připravuje půdu pro úspěšnou manipulaci a následné nasazení malwaru.

Pozorování společnosti Microsoft odhalují, že Storm-1811 používá různé malware, včetně Qakbot a Cobalt Strike, poskytovaných prostřednictvím nástrojů pro vzdálené monitorování, jako je ScreenConnect a NetSupport Manager. Po navázání přístupu útočníci použijí skriptované příkazy ke stažení a spuštění škodlivého obsahu, čímž si udrží kontrolu nad napadenými systémy. Storm-1811 navíc využívá nástroje jako OpenSSH tunelování a PsExec k udržení stálosti a nasazení ransomwaru Black Basta napříč sítěmi .

Ke zmírnění takových útoků se organizacím doporučuje odinstalovat nástroje pro vzdálený přístup, když se nepoužívají, a implementovat řešení správy privilegovaného přístupu s architekturou nulové důvěry. Pravidelné školení zaměstnanců je prvořadé pro rozvíjení povědomí o taktikách sociálního inženýrství a phishingových podvodech, které zaměstnancům umožňuje identifikovat a mařit potenciální hrozby. Pokročilá e-mailová řešení a monitorování událostí dále posilují obranu a umožňují rychlou detekci a zmírnění škodlivých aktivit.

Využívání nástrojů pro vzdálený přístup prostřednictvím sofistikovaného sociálního inženýrství podtrhuje vyvíjející se prostředí kybernetických hrozeb. Řešení těchto výzev vyžaduje mnohostranný přístup zahrnující technologickou obranu, vzdělávání zaměstnanců a proaktivní bezpečnostní opatření k ochraně proti škodlivému vykořisťování.