سوء استفاده از ابزار کمک سریع ویندوز می تواند به بازیگران تهدید باج افزار Black Basta کمک کند

استفاده از ابزارهای دسترسی از راه دور یک چالش دوگانه برای شرکت‌ها ایجاد می‌کند، به‌ویژه زمانی که توسط بازیگران تهدید ماهر در تاکتیک‌های مهندسی اجتماعی پیچیده مورد بهره‌برداری قرار گیرد. اخیراً، Microsoft Threat Intelligence ظهور یک کمپین فیشینگ باج‌افزار Black Basta را برجسته کرده است که توسط گروهی با انگیزه مالی به نام Storm-1811 تنظیم شده است. این گروه از یک رویکرد مهندسی شده اجتماعی استفاده می‌کند و به عنوان نهادهای قابل اعتمادی مانند پشتیبانی مایکروسافت یا پرسنل داخلی IT ظاهر می‌شود تا قربانیان را به اعطای دسترسی از راه دور از طریق Quick Assist، یک برنامه کاربردی ویندوز که اتصال از راه دور را تسهیل می‌کند، ترغیب کند.

هنگامی که اعتماد ایجاد شد و دسترسی اعطا شد، Storm-1811 اقدام به استقرار بدافزارهای مختلف می‌کند که در نهایت با توزیع باج‌افزار Black Basta به اوج خود می‌رسد. این روش بر سهولت استفاده از ابزارهای دسترسی از راه دور مشروع توسط عوامل تهدید با مهارت‌های مهندسی اجتماعی ماهر و دور زدن اقدامات امنیتی سنتی تأکید می‌کند. این تاکتیک‌های پیشرفته مهندسی اجتماعی مستلزم پاسخی فعال از تیم‌های امنیتی سازمانی، با تأکید بر هوشیاری بیشتر و آموزش جامع کارکنان است.

روش عملیات Storm-1811 شامل ترکیبی از vishing، بمباران ایمیل، و جعل هویت پرسنل IT برای فریب و به خطر انداختن کاربران است. مهاجمان قبل از برقراری تماس‌های واشینگ، قربانیان را با ایمیل‌ها غرق می‌کنند و از سردرگمی ناشی از آن برای وادار کردن قربانیان به پذیرش درخواست‌های مخرب Quick Assist استفاده می‌کنند. این بمباران سازماندهی شده برای منحرف کردن قربانیان عمل می کند و راه را برای دستکاری موفقیت آمیز و متعاقباً استقرار بدافزار هموار می کند.

مشاهدات مایکروسافت نشان می دهد که Storm-1811 از بدافزارهای مختلف از جمله Qakbot و Cobalt Strike استفاده می کند که از طریق ابزارهای نظارت از راه دور مانند ScreenConnect و NetSupport Manager ارائه می شود. هنگامی که دسترسی برقرار شد، مهاجمان از دستورات اسکریپت شده برای دانلود و اجرای بارهای مخرب استفاده می کنند و کنترل خود را بر سیستم های در معرض خطر تداوم می بخشند. علاوه بر این، Storm-1811 از ابزارهایی مانند OpenSSH Tunneling و PsExec برای حفظ پایداری و استقرار باج‌افزار Black Basta در سراسر شبکه‌ها استفاده می‌کند.

برای کاهش چنین حملاتی، به سازمان‌ها توصیه می‌شود که ابزارهای دسترسی از راه دور را زمانی که استفاده نمی‌شوند حذف نصب کنند و راه‌حل‌های مدیریت دسترسی امتیاز را با معماری بدون اعتماد پیاده‌سازی کنند. آموزش منظم کارکنان در پرورش آگاهی از تاکتیک‌های مهندسی اجتماعی و کلاهبرداری‌های فیشینگ، توانمندسازی کارکنان برای شناسایی و خنثی کردن تهدیدات بالقوه بسیار مهم است. راه‌حل‌های پیشرفته ایمیل و نظارت بر رویداد، دفاع را بیشتر تقویت می‌کند و امکان شناسایی و کاهش سریع فعالیت‌های مخرب را فراهم می‌کند.

بهره برداری از ابزارهای دسترسی از راه دور از طریق مهندسی اجتماعی پیچیده بر چشم انداز در حال تحول تهدیدات سایبری تأکید می کند. پرداختن به این چالش ها مستلزم یک رویکرد چند وجهی است که شامل دفاع های تکنولوژیکی، آموزش کارکنان و اقدامات امنیتی پیشگیرانه برای محافظت در برابر سوء استفاده های مخرب است.