שימוש לרעה בכלי הסיוע המהיר של Windows יכול לעזור לשחקני Black Basta Ransomware באיומים

השימוש בכלי גישה מרחוק מהווה אתגר כפול עבור ארגונים, במיוחד כאשר הם מנוצלים על ידי גורמי איומים הבקיאים בטקטיקות הנדסה חברתית מתוחכמות. לאחרונה, Microsoft Threat Intelligence הדגישה את הופעתו של קמפיין דיוג Black Basta Ransomware שתוזמן על ידי קבוצה בעלת מוטיבציה כלכלית שזוהתה כ-Storm-1811. קבוצה זו משתמשת בגישה מהונדסת חברתית, המתחזה לישויות מהימנות כמו תמיכה של מיקרוסופט או אנשי IT פנימיים, כדי לשדל קורבנות להעניק גישה מרחוק באמצעות Quick Assist, יישום Windows המאפשר חיבורים מרחוק.

לאחר יצירת האמון והגישה מוענקת, Storm-1811 ממשיך לפרוס תוכנות זדוניות שונות, שבסופו של דבר מגיע לשיאו בהפצת תוכנת הכופר של Black Basta. השיטה מדגישה את הקלות שבה ניתן לתמרן כלים לגיטימיים לגישה מרחוק על ידי שחקני איומים בעלי כישורי הנדסה חברתית מיומנים, תוך עקיפת אמצעי אבטחה מסורתיים. טקטיקות הנדסה חברתית מתקדמות אלו מחייבות תגובה יזומה של צוותי אבטחה ארגוניים, תוך שימת דגש על ערנות מוגברת והכשרת עובדים מקיפה.

שיטת הפעולה של Storm-1811 כוללת שילוב של וישינג, הפצצת דואר אלקטרוני והתחזות לאנשי IT כדי להונות ולסכן משתמשים. התוקפים מציפים קורבנות באימיילים לפני שהם מתחילים בשיחות וישינג, ומנצלים את הבלבול שנוצר כדי לכפות על קורבנות לקבל בקשות זדוניות של Quick Assist. הפצצה מתוזמרת זו משמשת לדיסאוריינטציה של קורבנות, וסוללת את הדרך למניפולציה מוצלחת ולפריסת תוכנות זדוניות לאחר מכן.

התצפיות של מיקרוסופט חושפות את השימוש של Storm-1811 בתוכנות זדוניות שונות, כולל Qakbot ו-Cobalt Strike, המועברות באמצעות כלי ניטור מרחוק כמו ScreenConnect ו-NetSupport Manager. לאחר הקמת גישה, התוקפים מפעילים פקודות סקריפט כדי להוריד ולבצע מטענים זדוניים, ולהנציח את שליטתם במערכות שנפגעו. בנוסף, Storm-1811 ממנפת כלים כמו מנהור OpenSSH ו-PsExec כדי לשמור על התמדה ולפרוס תוכנת כופר Black Basta ברחבי רשתות .

כדי למתן התקפות כאלה, מומלץ לארגונים להסיר את ההתקנה של כלי גישה מרחוק כאשר אינם בשימוש וליישם פתרונות ניהול גישה הרשאות עם ארכיטקטורת אמון אפס. הכשרת עובדים קבועה היא חשיבות עליונה בטיפוח המודעות לטקטיקות של הנדסה חברתית והונאות דיוג, מה שמעצים את הצוות לזהות ולסכל איומים פוטנציאליים. פתרונות דוא"ל מתקדמים וניטור אירועים מחזקים עוד יותר את ההגנות, ומאפשרים זיהוי מהיר והפחתה של פעילויות זדוניות.

הניצול של כלי גישה מרחוק באמצעות הנדסה חברתית מתוחכמת מדגיש את הנוף המתפתח של איומי סייבר. התמודדות עם אתגרים אלה דורשת גישה רב-פנים הכוללת הגנות טכנולוגיות, חינוך עובדים ואמצעי אבטחה יזומים להגנה מפני ניצול זדוני.