Zlorabljeno orodje Windows Quick Assist bi lahko pomagalo akterjem groženj z izsiljevalsko programsko opremo Black Basta

Uporaba orodij za oddaljeni dostop predstavlja dvojni izziv za podjetja, zlasti kadar jih izkoriščajo akterji groženj, ki so vešči sofisticiranih taktik socialnega inženiringa. Nedavno je Microsoft Threat Intelligence poudaril pojav lažne kampanje Black Basta Ransomware, ki jo je orkestrirala finančno motivirana skupina, identificirana kot Storm-1811. Ta skupina uporablja družbeno zasnovan pristop, ki se predstavlja kot zaupanja vredne entitete, kot je Microsoftova podpora ali interno osebje za IT, da žrtve prepriča v odobritev oddaljenega dostopa prek Quick Assist, aplikacije Windows, ki omogoča oddaljene povezave.

Ko je vzpostavljeno zaupanje in odobren dostop, Storm-1811 nadaljuje z uvajanjem različne zlonamerne programske opreme, kar končno doseže vrhunec v distribuciji izsiljevalske programske opreme Black Basta. Metoda poudarja enostavnost, s katero lahko akterji groženj s spretnimi veščinami socialnega inženiringa manipulirajo z legitimnimi orodji za oddaljeni dostop, mimo tradicionalnih varnostnih ukrepov. Te napredne taktike socialnega inženiringa zahtevajo proaktiven odziv ekip za varnost podjetij, s poudarkom na povečani pazljivosti in celovitem usposabljanju zaposlenih.

Način delovanja Storm-1811 vključuje kombinacijo razstreljevanja, bombardiranja po elektronski pošti in lažnega predstavljanja osebja IT, da bi zavajali in ogrozili uporabnike. Napadalci zasujejo žrtve z e-poštnimi sporočili, preden sprožijo vishing klice, pri čemer izkoristijo nastalo zmedo, da žrtve prisilijo, da sprejmejo zlonamerne zahteve Quick Assist. To orkestrirano bombardiranje služi za dezorientacijo žrtev, s čimer utira pot za uspešno manipulacijo in kasnejšo uporabo zlonamerne programske opreme.

Microsoftova opažanja razkrivajo, da Storm-1811 uporablja različno zlonamerno programsko opremo, vključno s Qakbot in Cobalt Strike, ki se izvaja prek orodij za oddaljen nadzor, kot sta ScreenConnect in NetSupport Manager. Ko je dostop vzpostavljen, napadalci uporabijo skriptne ukaze za prenos in izvajanje zlonamernih koristnih vsebin, s čimer ohranjajo svoj nadzor nad ogroženimi sistemi. Poleg tega Storm-1811 uporablja orodja, kot sta tuneliranje OpenSSH in PsExec, za ohranjanje obstojnosti in uvajanje izsiljevalske programske opreme Black Basta po omrežjih .

Za ublažitev takšnih napadov se organizacijam svetuje, da odstranijo orodja za oddaljeni dostop, ko niso v uporabi, in implementirajo rešitve za upravljanje privilegiranega dostopa z arhitekturo ničelnega zaupanja. Redno usposabljanje zaposlenih je najpomembnejše pri ozaveščanju o taktikah socialnega inženiringa in prevarah z lažnim predstavljanjem, kar osebju omogoča prepoznavanje in preprečevanje morebitnih groženj. Napredne e-poštne rešitve in spremljanje dogodkov dodatno krepijo obrambo, kar omogoča hitro odkrivanje in ublažitev zlonamernih dejavnosti.

Izkoriščanje orodij za oddaljeni dostop prek sofisticiranega socialnega inženiringa poudarja razvijajočo se pokrajino kibernetskih groženj. Obravnavanje teh izzivov zahteva večplasten pristop, ki vključuje tehnološko zaščito, izobraževanje zaposlenih in proaktivne varnostne ukrepe za zaščito pred zlonamernim izkoriščanjem.