Misbrukt Windows Quick Assist Tool kan hjelpe Black Basta Ransomware Threat Actors

Bruken av fjerntilgangsverktøy utgjør en dobbel utfordring for bedrifter, spesielt når de utnyttes av trusselaktører som er dyktige i sofistikert sosial ingeniørtaktikk. Nylig fremhevet Microsoft Threat Intelligence fremveksten av en Black Basta Ransomware phishing-kampanje orkestrert av en økonomisk motivert gruppe identifisert som Storm-1811. Denne gruppen benytter en sosialt utviklet tilnærming, og utgir seg for å være pålitelige enheter som Microsoft-støtte eller internt IT-personell, for å lokke ofre til å gi ekstern tilgang via Quick Assist, en Windows-applikasjon som letter eksterne tilkoblinger.

Når tillit er etablert og tilgang gitt, fortsetter Storm-1811 med å distribuere diverse skadelig programvare, som til slutt kulminerer med distribusjonen av Black Basta løsepengeprogramvare. Metoden understreker hvor enkelt legitime fjerntilgangsverktøy kan manipuleres av trusselaktører med dyktige sosialingeniørferdigheter, og omgå tradisjonelle sikkerhetstiltak. Disse avanserte sosiale ingeniørtaktikkene krever en proaktiv respons fra bedriftssikkerhetsteam, med vekt på økt årvåkenhet og omfattende opplæring av ansatte.

Storm-1811s modus operandi involverer en kombinasjon av vishing, e-postbombing og etterligning av IT-personell for å lure og kompromittere brukere. Overfallsmennene oversvømmer ofrene med e-poster før de starter vishing-anrop, og utnytter den påfølgende forvirringen til å tvinge ofrene til å godta ondsinnede Quick Assist-forespørsler. Dette orkestrerte bombardementet tjener til å desorientere ofrene, og baner vei for vellykket manipulasjon og påfølgende distribusjon av skadelig programvare.

Microsofts observasjoner avslører Storm-1811s bruk av ulike skadevare, inkludert Qakbot og Cobalt Strike, levert gjennom fjernovervåkingsverktøy som ScreenConnect og NetSupport Manager. Når tilgangen er etablert, bruker angriperne skriptkommandoer for å laste ned og utføre ondsinnede nyttelaster, og opprettholder deres kontroll over kompromitterte systemer. I tillegg utnytter Storm-1811 verktøy som OpenSSH tunneling og PsExec for å opprettholde utholdenhet og distribuere Black Basta løsepengevare på tvers av nettverk .

For å dempe slike angrep, anbefales organisasjoner å avinstallere fjerntilgangsverktøy når de ikke er i bruk og implementere løsninger for rettighetsadgangsadministrasjon med en null-tillit-arkitektur. Regelmessig opplæring av ansatte er avgjørende for å dyrke bevissthet om taktikk for sosial ingeniørkunst og phishing-svindel, og gir personalet mulighet til å identifisere og hindre potensielle trusler. Avanserte e-postløsninger og hendelsesovervåking styrker forsvaret ytterligere, noe som muliggjør umiddelbar oppdagelse og demping av ondsinnede aktiviteter.

Utnyttelsen av fjerntilgangsverktøy gjennom sofistikert sosial ingeniørkunst understreker det utviklende landskapet av cybertrusler. Å møte disse utfordringene krever en mangefasettert tilnærming som omfatter teknologisk forsvar, opplæring av ansatte og proaktive sikkerhetstiltak for å beskytte mot ondsinnet utnyttelse.