Kuritarvitatud Windowsi kiirabitööriist võib aidata Black Basta lunavara ohus osalejaid

Kaugjuurdepääsu tööriistade kasutamine kujutab endast ettevõtetele kahekordset väljakutset, eriti kui neid kasutavad ohus osalejad, kes on kogenud keerulisi sotsiaalseid manipuleerimisi taktikaid. Hiljuti tõstis Microsoft Threat Intelligence esile Black Basta Ransomware andmepüügikampaania tekkimist, mille korraldas rahaliselt motiveeritud rühmitus nimega Storm-1811. See rühm kasutab sotsiaalselt kavandatud lähenemisviisi, maskeerides end usaldusväärseteks üksusteks, nagu Microsofti tugi või sisemised IT-töötajad, et meelitada ohvreid võimaldama kaugjuurdepääsu Quick Assist, Windowsi kaugühendusi hõlbustava rakenduse kaudu.

Kui usaldus on loodud ja juurdepääs antud, hakkab Storm-1811 juurutama erinevat pahavara, mis lõpuks kulmineerub Black Basta lunavara levitamisega. Meetod rõhutab, kui lihtne on seaduslike kaugjuurdepääsu vahenditega manipuleerida ohus osalejate poolt, kellel on vilunud sotsiaalinseneri oskused, jättes kõrvale traditsioonilised turvameetmed. Need täiustatud sotsiaalse inseneri taktikad nõuavad ettevõtete turvameeskondadelt ennetavat reageerimist, rõhutades kõrgendatud valvsust ja töötajate põhjalikku koolitust.

Storm-1811 toimimisviis hõlmab kasutajate petmiseks ja kompromiteerimiseks IT-töötajate jälitamist, e-posti pommitamist ja kehastumist. Ründajad uputavad ohvreid e-kirjadega enne viskikõnede alustamist, kasutades ära tekkinud segadust, et sundida ohvreid vastu võtma pahatahtlikke kiirabitaotlusi. See organiseeritud pommitamine aitab ohvreid desorienteerida, sillutades teed edukaks manipuleerimiseks ja sellele järgnevaks pahavara kasutuselevõtuks.

Microsofti tähelepanekud näitavad, et Storm-1811 kasutab mitmesuguseid pahavarasid, sealhulgas Qakbot ja Cobalt Strike, mida tarnitakse kaugseire tööriistade (nt ScreenConnect ja NetSupport Manager) kaudu. Kui juurdepääs on loodud, kasutavad ründajad skriptitud käske pahatahtlike kasulike koormuste allalaadimiseks ja käivitamiseks, säilitades seeläbi kontrolli ohustatud süsteemide üle. Lisaks kasutab Storm-1811 tööriistu, nagu OpenSSH tunneldamine ja PsExec, et säilitada püsivus ja juurutada Black Basta lunavara võrkudes .

Selliste rünnete leevendamiseks soovitatakse organisatsioonidel desinstallida kaugjuurdepääsu tööriistad, kui neid ei kasutata, ja juurutada privileegide juurdepääsu halduslahendusi, millel on null-usaldusarhitektuur. Regulaarne töötajate koolitus on esmatähtis, et kasvatada teadlikkust sotsiaalse inseneri taktikatest ja andmepüügipettustest, andes töötajatele võimaluse võimalikke ohte tuvastada ja tõrjuda. Täiustatud meililahendused ja sündmuste jälgimine tugevdavad veelgi kaitset, võimaldades pahatahtlikku tegevust kiiresti tuvastada ja leevendada.

Kaugjuurdepääsu tööriistade kasutamine keeruka sotsiaalse inseneride abil rõhutab küberohtude arenevat maastikku. Nende väljakutsetega toimetulemiseks on vaja mitmekülgset lähenemisviisi, mis hõlmab tehnoloogilisi kaitsemeetmeid, töötajate koolitust ja ennetavaid turvameetmeid, et kaitsta end pahatahtliku ärakasutamise eest.