Misbruikt Windows Quick Assist-hulpprogramma kan Black Basta Ransomware-bedreigingsactoren helpen

Het gebruik van tools voor externe toegang vormt een dubbele uitdaging voor ondernemingen, vooral wanneer deze worden uitgebuit door bedreigingsactoren die bedreven zijn in geavanceerde social engineering-tactieken. Onlangs heeft Microsoft Threat Intelligence de opkomst benadrukt van een Black Basta Ransomware phishing-campagne, georkestreerd door een financieel gemotiveerde groep geïdentificeerd als Storm-1811. Deze groep maakt gebruik van een sociaal ontwikkelde aanpak, die zich voordoet als vertrouwde entiteiten zoals Microsoft-ondersteuning of intern IT-personeel, om slachtoffers over te halen externe toegang te verlenen via Quick Assist, een Windows-toepassing die externe verbindingen mogelijk maakt.

Zodra het vertrouwen is gevestigd en de toegang is verleend, gaat Storm-1811 verder met het inzetten van verschillende malware, wat uiteindelijk culmineert in de verspreiding van de Black Basta-ransomware. De methode onderstreept het gemak waarmee legitieme tools voor externe toegang kunnen worden gemanipuleerd door bedreigingsactoren met bedreven sociale vaardigheden, waarbij traditionele beveiligingsmaatregelen worden omzeild. Deze geavanceerde social engineering-tactieken vereisen een proactieve reactie van bedrijfsbeveiligingsteams, waarbij de nadruk wordt gelegd op verhoogde waakzaamheid en uitgebreide training van medewerkers.

De modus operandi van Storm-1811 omvat een combinatie van vishing, e-mailbombardementen en het nabootsen van IT-personeel om gebruikers te misleiden en in gevaar te brengen. De aanvallers overspoelen hun slachtoffers met e-mails voordat ze vishing-oproepen starten, waarbij ze de daaruit voortvloeiende verwarring uitbuiten om slachtoffers te dwingen kwaadaardige Quick Assist-verzoeken te accepteren. Dit georkestreerde bombardement dient om slachtoffers te desoriënteren, waardoor de weg wordt vrijgemaakt voor succesvolle manipulatie en daaropvolgende inzet van malware.

Uit de observaties van Microsoft blijkt dat Storm-1811 verschillende malware gebruikt, waaronder Qakbot en Cobalt Strike, geleverd via tools voor monitoring op afstand, zoals ScreenConnect en NetSupport Manager. Zodra de toegang tot stand is gebracht, gebruiken de aanvallers scriptopdrachten om kwaadaardige ladingen te downloaden en uit te voeren, waardoor hun controle over gecompromitteerde systemen behouden blijft. Bovendien maakt Storm-1811 gebruik van tools zoals OpenSSH-tunneling en PsExec om de persistentie te behouden en de Black Basta-ransomware over netwerken te implementeren .

Om dergelijke aanvallen tegen te gaan, wordt organisaties geadviseerd om tools voor externe toegang te verwijderen wanneer deze niet worden gebruikt, en om oplossingen voor het beheer van privilege-toegang te implementeren met een zero-trust-architectuur. Regelmatige training van medewerkers is van cruciaal belang om het bewustzijn van social engineering-tactieken en phishing-fraude te vergroten, waardoor het personeel in staat wordt gesteld potentiële bedreigingen te identificeren en te dwarsbomen. Geavanceerde e-mailoplossingen en gebeurtenismonitoring versterken de verdediging verder, waardoor kwaadaardige activiteiten snel kunnen worden gedetecteerd en beperkt.

De exploitatie van tools voor externe toegang via geavanceerde social engineering onderstreept het evoluerende landschap van cyberdreigingen. Het aanpakken van deze uitdagingen vereist een veelzijdige aanpak die technologische verdediging, opleiding van werknemers en proactieve beveiligingsmaatregelen omvat om bescherming te bieden tegen kwaadwillige uitbuiting.