เครื่องมือ Quick Assist ของ Windows ที่ถูกละเมิดสามารถช่วยเหลือผู้คุกคาม Black Basta Ransomware ได้

การใช้เครื่องมือการเข้าถึงระยะไกลถือเป็นความท้าทายสองประการสำหรับองค์กร โดยเฉพาะอย่างยิ่งเมื่อถูกโจมตีโดยผู้คุกคามที่เชี่ยวชาญกลยุทธ์วิศวกรรมสังคมที่ซับซ้อน เมื่อเร็วๆ นี้ Microsoft Threat Intelligence ได้เน้นย้ำถึงการเกิดขึ้นของแคมเปญฟิชชิ่ง Black Basta Ransomware ที่จัดทำโดยกลุ่มที่มีแรงจูงใจทางการเงิน ระบุว่าเป็น Storm-1811 กลุ่มนี้ใช้วิธีการทางวิศวกรรมทางสังคม โดยปลอมตัวเป็นหน่วยงานที่เชื่อถือได้ เช่น ฝ่ายสนับสนุนของ Microsoft หรือบุคลากรด้านไอทีภายใน เพื่อเกลี้ยกล่อมเหยื่อให้อนุญาตการเข้าถึงระยะไกลผ่าน Quick Assist ซึ่งเป็นแอปพลิเคชัน Windows ที่อำนวยความสะดวกในการเชื่อมต่อระยะไกล

เมื่อสร้างความไว้วางใจและได้รับสิทธิ์ในการเข้าถึงแล้ว Storm-1811 จะดำเนินการปรับใช้มัลแวร์ต่างๆ ซึ่งท้ายที่สุดจะถึงจุดสูงสุดในการแพร่กระจายของแรนซัมแวร์ Black Basta วิธีการดังกล่าวตอกย้ำความง่ายในการใช้เครื่องมือการเข้าถึงระยะไกลที่ถูกกฎหมายสามารถจัดการโดยผู้คุกคามที่มีทักษะด้านวิศวกรรมสังคมที่เชี่ยวชาญ โดยข้ามมาตรการรักษาความปลอดภัยแบบเดิมๆ กลยุทธ์วิศวกรรมสังคมขั้นสูงเหล่านี้จำเป็นต้องมีการตอบสนองเชิงรุกจากทีมรักษาความปลอดภัยขององค์กร โดยเน้นย้ำถึงการเฝ้าระวังที่เพิ่มมากขึ้นและการฝึกอบรมพนักงานที่ครอบคลุม

วิธีการดำเนินการของ Storm-1811 เกี่ยวข้องกับการผสมผสานระหว่างการรับชม การทิ้งระเบิดอีเมล และการแอบอ้างเป็นบุคลากรด้านไอทีเพื่อหลอกลวงและประนีประนอมผู้ใช้ คนร้ายโจมตีเหยื่อด้วยอีเมลอย่างท่วมท้นก่อนที่จะเริ่มการโทรแบบ Vishing โดยใช้ประโยชน์จากความสับสนที่ตามมาเพื่อบีบบังคับเหยื่อให้ยอมรับคำขอ Quick Assist ที่เป็นอันตราย การโจมตีแบบเตรียมการนี้ทำหน้าที่ในการทำให้เหยื่อสับสน ปูทางไปสู่การจัดการที่ประสบความสำเร็จและการติดตั้งมัลแวร์ในภายหลัง

ข้อสังเกตของ Microsoft เผยให้เห็นการใช้มัลแวร์ต่างๆ ของ Storm-1811 รวมถึง Qakbot และ Cobalt Strike ซึ่งส่งผ่านเครื่องมือตรวจสอบระยะไกล เช่น ScreenConnect และ NetSupport Manager เมื่อสร้างการเข้าถึงแล้ว ผู้โจมตีจะใช้คำสั่งสคริปต์เพื่อดาวน์โหลดและดำเนินการเพย์โหลดที่เป็นอันตราย ซึ่งจะทำให้การควบคุมระบบที่ถูกบุกรุกคงอยู่ต่อไป นอกจากนี้ Storm-1811 ยังใช้ประโยชน์จากเครื่องมือต่างๆ เช่น OpenSSH tunneling และ PsExec เพื่อรักษาความคงอยู่และ ปรับใช้ Black Basta ransomware ข้ามเครือข่าย

เพื่อบรรเทาการโจมตีดังกล่าว องค์กรต่างๆ ควรถอนการติดตั้งเครื่องมือการเข้าถึงระยะไกลเมื่อไม่ได้ใช้งาน และใช้โซลูชันการจัดการสิทธิ์การเข้าถึงด้วยสถาปัตยกรรมแบบ Zero-Trust การฝึกอบรมพนักงานเป็นประจำเป็นสิ่งสำคัญยิ่งในการปลูกฝังความตระหนักรู้เกี่ยวกับกลยุทธ์วิศวกรรมสังคมและการหลอกลวงแบบฟิชชิ่ง ช่วยให้พนักงานสามารถระบุและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ โซลูชันอีเมลขั้นสูงและการตรวจสอบเหตุการณ์ช่วยเพิ่มการป้องกัน ทำให้สามารถตรวจจับและลดกิจกรรมที่เป็นอันตรายได้ทันที

การใช้ประโยชน์จากเครื่องมือที่เข้าถึงจากระยะไกลผ่านทางวิศวกรรมสังคมที่ซับซ้อน ตอกย้ำภูมิทัศน์ที่เปลี่ยนแปลงไปของภัยคุกคามทางไซเบอร์ การจัดการกับความท้าทายเหล่านี้ต้องใช้แนวทางที่หลากหลาย ซึ่งครอบคลุมการป้องกันทางเทคโนโลยี การให้ความรู้แก่พนักงาน และมาตรการรักษาความปลอดภัยเชิงรุกเพื่อป้องกันการแสวงหาผลประโยชน์ที่เป็นอันตราย