Zneužívaný nástroj Windows Quick Assist Tool by mohol pomôcť aktérom hrozieb Black Basta Ransomware

Využitie nástrojov vzdialeného prístupu predstavuje pre podniky dvojitú výzvu, najmä ak ich využívajú aktéri hrozieb, ktorí sú zdatní v sofistikovaných taktikách sociálneho inžinierstva. Nedávno Microsoft Threat Intelligence upozornil na vznik phishingovej kampane Black Basta Ransomware organizovanej finančne motivovanou skupinou identifikovanou ako Storm-1811. Táto skupina využíva sociálne inžiniersky prístup, ktorý sa vydáva za dôveryhodné subjekty, ako je podpora spoločnosti Microsoft alebo interný IT personál, aby prinútil obete poskytnúť vzdialený prístup prostredníctvom aplikácie Quick Assist, ktorá umožňuje vzdialené pripojenia.

Po vytvorení dôvery a udelení prístupu Storm-1811 pokračuje v nasadzovaní rôzneho škodlivého softvéru, ktorý nakoniec vyvrcholí distribúciou ransomvéru Black Basta. Metóda podčiarkuje jednoduchosť, s akou môžu legitímne nástroje vzdialeného prístupu manipulovať aktéri hrozieb so zručnosťami v oblasti sociálneho inžinierstva a obísť tradičné bezpečnostné opatrenia. Tieto pokročilé taktiky sociálneho inžinierstva si vyžadujú proaktívnu reakciu tímov podnikovej bezpečnosti, pričom sa kladie dôraz na zvýšenú ostražitosť a komplexné školenie zamestnancov.

Modus operandi Storm-1811 zahŕňa kombináciu vishingu, e-mailového bombardovania a vydávania sa za IT personál s cieľom oklamať a kompromitovať používateľov. Útočníci zaplavujú obete e-mailmi pred iniciovaním vishingových hovorov, čím využívajú následný zmätok na prinútenie obetí, aby prijali škodlivé žiadosti o rýchlu pomoc. Toto organizované bombardovanie slúži na dezorientáciu obetí, čím pripravuje pôdu pre úspešnú manipuláciu a následné nasadenie malvéru.

Pozorovania spoločnosti Microsoft odhaľujú, že Storm-1811 používa rôzne malware, vrátane Qakbot a Cobalt Strike, dodávaného prostredníctvom nástrojov vzdialeného monitorovania, ako sú ScreenConnect a NetSupport Manager. Po vytvorení prístupu útočníci použijú skriptované príkazy na stiahnutie a spustenie škodlivého obsahu, čím si udržia kontrolu nad napadnutými systémami. Storm-1811 navyše využíva nástroje ako tunelovanie OpenSSH a PsExec na udržanie stálosti a nasadenie ransomvéru Black Basta v sieťach .

Na zmiernenie takýchto útokov sa organizáciám odporúča odinštalovať nástroje vzdialeného prístupu, keď sa nepoužívajú, a implementovať riešenia správy privilégií s architektúrou nulovej dôvery. Pravidelné školenia zamestnancov sú prvoradé pri zvyšovaní povedomia o taktikách sociálneho inžinierstva a phishingových podvodoch, ktoré zamestnancom umožňujú identifikovať a zmariť potenciálne hrozby. Pokročilé e-mailové riešenia a monitorovanie udalostí ďalej posilňujú obranu a umožňujú rýchle odhalenie a zmiernenie škodlivých aktivít.

Využívanie nástrojov vzdialeného prístupu prostredníctvom sofistikovaného sociálneho inžinierstva podčiarkuje vyvíjajúci sa priestor kybernetických hrozieb. Riešenie týchto výziev si vyžaduje mnohostranný prístup zahŕňajúci technologickú obranu, vzdelávanie zamestnancov a proaktívne bezpečnostné opatrenia na ochranu pred zlomyseľným zneužívaním.