Злоупотребљена Виндовс алатка за брзу помоћ могла би да помогне актерима претњи Блацк Баста Рансомваре

Коришћење алата за даљински приступ представља двоструки изазов за предузећа, посебно када их искористе актери претњи који су вешти у софистицираним тактикама друштвеног инжењеринга. Недавно је Мицрософт Тхреат Интеллигенце истакао појаву пхисхинг кампање Блацк Баста Рансомваре коју је организовала финансијски мотивисана група идентификована као Сторм-1811. Ова група користи друштвено пројектован приступ, маскирајући се у субјекте од поверења као што су подршка Мицрософт-а или интерно ИТ особље, како би наговорили жртве да им дају даљински приступ преко Куицк Ассист-а, Виндовс апликације која омогућава даљинско повезивање.

Када се успостави поверење и одобри приступ, Сторм-1811 наставља са применом различитих малвера, што на крају кулминира дистрибуцијом Блацк Баста рансомваре-а. Овај метод наглашава лакоћу са којом легитимним алатима за даљински приступ могу манипулисати актери претњи са вештим вештинама друштвеног инжењеринга, заобилазећи традиционалне мере безбедности. Ове напредне тактике социјалног инжењеринга захтевају проактивну реакцију безбедносних тимова предузећа, наглашавајући повећану будност и свеобухватну обуку запослених.

Модус операнди Сторм-1811 укључује комбинацију висхинга, бомбардовања путем е-поште и лажног представљања ИТ особља како би се обманули и компромитовали корисници. Нападачи засипају жртве имејловима пре него што започну позиве, користећи конфузију која је настала да би приморала жртве да прихвате злонамерне захтеве за брзу помоћ. Ово оркестрирано бомбардовање служи да дезоријентише жртве, утирући пут успешној манипулацији и накнадном размештању злонамерног софтвера.

Мицрософтова запажања откривају да Сторм-1811 користи различите малвере, укључујући Какбот и Цобалт Стрике, који се испоручују путем алата за даљинско праћење као што су СцреенЦоннецт и НетСуппорт Манагер. Када се приступ успостави, нападачи користе скриптоване команде за преузимање и извршавање злонамерних корисних података, одржавајући своју контролу над компромитованим системима. Поред тога, Сторм-1811 користи алате као што су ОпенССХ тунелирање и ПсЕкец да би одржао постојаност и применио Блацк Баста рансомваре преко мрежа .

Да би ублажиле такве нападе, организацијама се саветује да деинсталирају алатке за даљински приступ када се не користе и имплементирају решења за управљање приступом привилегијама са архитектуром нулте поверења. Редовна обука запослених је најважнија у неговању свести о тактикама социјалног инжењеринга и пхисхинг преварама, оснажујући особље да идентификује и спречи потенцијалне претње. Напредна решења за е-пошту и праћење догађаја додатно јачају одбрану, омогућавајући брзо откривање и ублажавање злонамерних активности.

Експлоатација алата за даљински приступ кроз софистицирани друштвени инжењеринг наглашава развој сајбер претњи. Решавање ових изазова захтева вишеструки приступ који обухвата технолошку одбрану, образовање запослених и проактивне мере безбедности за заштиту од злонамерне експлоатације.