Alat Bantuan Pantas Windows yang Disalahgunakan Boleh Membantu Pelakon Ancaman Black Basta Ransomware

Penggunaan alat capaian jauh memberikan dua cabaran untuk perusahaan, terutamanya apabila dieksploitasi oleh aktor ancaman yang mahir dalam taktik kejuruteraan sosial yang canggih. Baru-baru ini, Microsoft Threat Intelligence menyerlahkan kemunculan kempen pancingan data Black Basta Ransomware yang didalangi oleh kumpulan bermotivasi kewangan yang dikenal pasti sebagai Storm-1811. Kumpulan ini menggunakan pendekatan kejuruteraan sosial, menyamar sebagai entiti yang dipercayai seperti sokongan Microsoft atau kakitangan IT dalaman, untuk memujuk mangsa agar memberikan akses jauh melalui Quick Assist, aplikasi Windows yang memudahkan sambungan jauh.

Setelah kepercayaan diwujudkan dan akses diberikan, Storm-1811 meneruskan untuk menggunakan pelbagai perisian hasad, yang akhirnya memuncak dalam pengedaran perisian tebusan Black Basta. Kaedah ini menekankan kemudahan alat capaian jauh yang sah boleh dimanipulasi oleh aktor ancaman yang mempunyai kemahiran kejuruteraan sosial yang mahir, memintas langkah keselamatan tradisional. Taktik kejuruteraan sosial lanjutan ini memerlukan tindak balas proaktif daripada pasukan keselamatan perusahaan, menekankan kewaspadaan yang lebih tinggi dan latihan pekerja yang komprehensif.

Modus operandi Storm-1811 melibatkan gabungan vishing, pengeboman e-mel dan penyamaran kakitangan IT untuk menipu dan menjejaskan pengguna. Penyerang membanjiri mangsa dengan e-mel sebelum memulakan panggilan vishing, mengeksploitasi kekeliruan yang berlaku untuk memaksa mangsa menerima permintaan Quick Assist yang berniat jahat. Pengeboman terancang ini berfungsi untuk mengelirukan mangsa, membuka jalan untuk manipulasi yang berjaya dan penggunaan perisian hasad yang seterusnya.

Pemerhatian Microsoft mendedahkan penggunaan pelbagai perisian hasad oleh Storm-1811, termasuk Qakbot dan Cobalt Strike, yang dihantar melalui alat pemantauan jauh seperti ScreenConnect dan NetSupport Manager. Setelah akses diwujudkan, penyerang menggunakan arahan berskrip untuk memuat turun dan melaksanakan muatan berniat jahat, mengekalkan kawalan mereka ke atas sistem yang terjejas. Selain itu, Storm-1811 memanfaatkan alatan seperti terowong OpenSSH dan PsExec untuk mengekalkan kegigihan dan menggunakan perisian tebusan Black Basta merentas rangkaian .

Untuk mengurangkan serangan sedemikian, organisasi dinasihatkan untuk menyahpasang alatan akses jauh apabila tidak digunakan dan melaksanakan penyelesaian pengurusan akses keistimewaan dengan seni bina sifar amanah. Latihan pekerja tetap adalah penting dalam memupuk kesedaran tentang taktik kejuruteraan sosial dan penipuan pancingan data, memperkasakan kakitangan untuk mengenal pasti dan menggagalkan potensi ancaman. Penyelesaian e-mel lanjutan dan pemantauan acara mengukuhkan lagi pertahanan, membolehkan pengesanan segera dan pengurangan aktiviti berniat jahat.

Eksploitasi alat akses jauh melalui kejuruteraan sosial yang canggih menggariskan landskap ancaman siber yang semakin berkembang. Menangani cabaran ini memerlukan pendekatan pelbagai aspek yang merangkumi pertahanan teknologi, pendidikan pekerja dan langkah keselamatan proaktif untuk melindungi daripada eksploitasi berniat jahat.