Zloupotrebljeni alat za brzu pomoć sustava Windows mogao bi pomoći akterima prijetnje Ransomwareom Black Basta

Korištenje alata za daljinski pristup predstavlja dvostruki izazov za poduzeća, osobito kada ih iskorištavaju akteri prijetnji koji su vješti u sofisticiranim taktikama društvenog inženjeringa. Nedavno je Microsoft Threat Intelligence istaknuo pojavu phishing kampanje Black Basta Ransomware koju je orkestrirala financijski motivirana skupina identificirana kao Storm-1811. Ova skupina koristi društveno projektirani pristup, maskirajući se u povjerljive entitete poput Microsoftove podrške ili internog IT osoblja, kako bi nagovorila žrtve da odobre udaljeni pristup putem Quick Assista, Windows aplikacije koja olakšava udaljene veze.

Nakon što se uspostavi povjerenje i odobri pristup, Storm-1811 nastavlja s implementacijom raznih zlonamjernih programa, što na kraju kulminira distribucijom Black Basta ransomwarea. Metoda naglašava lakoću kojom akteri prijetnji s vještim vještinama društvenog inženjeringa mogu manipulirati legitimnim alatima za daljinski pristup, zaobilazeći tradicionalne sigurnosne mjere. Ove napredne taktike društvenog inženjeringa zahtijevaju proaktivan odgovor sigurnosnih timova poduzeća, s naglaskom na povećanu budnost i sveobuhvatnu obuku zaposlenika.

Modus operandi Storm-1811 uključuje kombinaciju vishinga, bombardiranja e-poštom i lažnog predstavljanja IT osoblja kako bi se prevarili i kompromitirali korisnici. Napadači zasipaju žrtve e-poštom prije nego što započnu pozive, iskorištavajući zbrku koja je nastala kako bi natjerali žrtve da prihvate zlonamjerne zahtjeve Quick Assist. Ovo orkestrirano bombardiranje služi za dezorijentaciju žrtava, utirući put uspješnoj manipulaciji i kasnijoj implementaciji zlonamjernog softvera.

Microsoftova opažanja otkrivaju Storm-1811 korištenje raznih zlonamjernih programa, uključujući Qakbot i Cobalt Strike, koji se isporučuju putem alata za daljinsko praćenje kao što su ScreenConnect i NetSupport Manager. Nakon što je pristup uspostavljen, napadači koriste skriptirane naredbe za preuzimanje i izvršavanje zlonamjernih korisnih sadržaja, održavajući svoju kontrolu nad ugroženim sustavima. Osim toga, Storm-1811 koristi alate kao što su OpenSSH tunneling i PsExec za održavanje postojanosti i implementaciju Black Basta ransomwarea na mrežama .

Kako bi ublažili takve napade, organizacijama se savjetuje da deinstaliraju alate za daljinski pristup kada se ne koriste i implementiraju rješenja za upravljanje povlaštenim pristupom s arhitekturom nultog povjerenja. Redovita obuka zaposlenika je najvažnija u njegovanju svijesti o taktikama društvenog inženjeringa i prijevarama krađe identiteta, osnažujući osoblje da identificira i osujeti potencijalne prijetnje. Napredna rješenja za e-poštu i praćenje događaja dodatno jačaju obranu, omogućujući brzo otkrivanje i ublažavanje zlonamjernih aktivnosti.

Iskorištavanje alata za daljinski pristup kroz sofisticirani društveni inženjering naglašava razvoj kibernetičkih prijetnji. Rješavanje ovih izazova zahtijeva višestruki pristup koji uključuje tehnološku obranu, obrazovanje zaposlenika i proaktivne sigurnosne mjere za zaštitu od zlonamjernog iskorištavanja.