Missbrukat Windows Quick Assist Tool kan hjälpa Black Basta Ransomware Threat Actors

Användningen av fjärråtkomstverktyg utgör en dubbel utmaning för företag, särskilt när det utnyttjas av hotaktörer som är skickliga i sofistikerad social ingenjörstaktik. Nyligen lyfte Microsoft Threat Intelligence fram uppkomsten av en Black Basta Ransomware -nätfiskekampanj orkestrerad av en ekonomiskt motiverad grupp identifierad som Storm-1811. Den här gruppen använder sig av ett socialt utformat tillvägagångssätt, som maskerar sig som pålitliga enheter som Microsoft-support eller intern IT-personal, för att locka offer att ge fjärråtkomst via Quick Assist, en Windows-applikation som underlättar fjärranslutningar.

När förtroende har etablerats och åtkomst beviljats fortsätter Storm-1811 att distribuera olika skadliga program, vilket slutligen kulminerar i distributionen av Black Basta ransomware. Metoden understryker den lätthet med vilken legitima fjärråtkomstverktyg kan manipuleras av hotaktörer med skickliga sociala ingenjörsfärdigheter, utan att traditionella säkerhetsåtgärder kringgås. Dessa avancerade sociala ingenjörstekniker kräver ett proaktivt svar från företagssäkerhetsteam, som betonar ökad vaksamhet och omfattande utbildning av anställda.

Storm-1811:s arbetssätt involverar en kombination av vishing, e-postbombningar och imitation av IT-personal för att lura och äventyra användare. Angriparna översköljer offer med e-post innan de initierar vishing-samtal, och utnyttjar den förvirring som uppstår för att tvinga offren att acceptera skadliga Quick Assist-förfrågningar. Detta orkestrerade bombardement tjänar till att desorientera offren, vilket banar väg för framgångsrik manipulation och efterföljande distribution av skadlig programvara.

Microsofts observationer avslöjar Storm-1811:s användning av olika skadliga program, inklusive Qakbot och Cobalt Strike, levererade genom fjärrövervakningsverktyg som ScreenConnect och NetSupport Manager. När åtkomsten väl är etablerad använder angriparna skriptkommandon för att ladda ner och köra skadliga nyttolaster, vilket bibehåller deras kontroll över komprometterade system. Dessutom använder Storm-1811 verktyg som OpenSSH-tunneling och PsExec för att bibehålla uthållighet och distribuera Black Basta ransomware över nätverk .

För att mildra sådana attacker rekommenderas organisationer att avinstallera fjärråtkomstverktyg när de inte används och implementera lösningar för hantering av behörighetsåtkomst med en arkitektur med noll förtroende. Regelbunden utbildning av anställda är avgörande för att odla medvetenhet om social ingenjörstaktik och nätfiske, vilket ger personalen möjlighet att identifiera och motverka potentiella hot. Avancerade e-postlösningar och händelseövervakning stärker försvaret ytterligare, vilket möjliggör snabb upptäckt och begränsning av skadliga aktiviteter.

Exploateringen av verktyg för fjärråtkomst genom sofistikerad social ingenjörskonst understryker det föränderliga landskapet av cyberhot. Att ta itu med dessa utmaningar kräver ett mångfacetterat tillvägagångssätt som omfattar tekniskt försvar, utbildning av anställda och proaktiva säkerhetsåtgärder för att skydda mot skadlig exploatering.