Ang Inabusong Windows Quick Assist Tool ay Makakatulong sa Black Basta Ransomware Threat Actor
Ang paggamit ng remote-access na mga tool ay nagpapakita ng dalawahang hamon para sa mga negosyo, lalo na kapag pinagsamantalahan ng mga aktor ng pagbabanta na bihasa sa mga sopistikadong taktika ng social engineering. Kamakailan, binigyang-diin ng Microsoft Threat Intelligence ang paglitaw ng Black Basta Ransomware phishing campaign na inayos ng isang financially motivated group na kinilala bilang Storm-1811. Gumagamit ang grupong ito ng socially engineered approach, na nagpapanggap bilang mga pinagkakatiwalaang entity tulad ng Microsoft support o internal IT personnel, para hikayatin ang mga biktima na magbigay ng malayuang pag-access sa pamamagitan ng Quick Assist, isang Windows application na nagpapadali sa mga malalayong koneksyon.
Kapag naitatag na ang tiwala at nabigyan ng access, magpapatuloy ang Storm-1811 na mag-deploy ng iba't ibang malware, na sa huli ay nagtatapos sa pamamahagi ng Black Basta ransomware. Binibigyang-diin ng pamamaraan ang kadalian kung saan ang mga lehitimong tool sa remote-access ay maaaring manipulahin ng mga aktor ng pagbabanta na may mahusay na mga kasanayan sa social-engineering, na lumalampas sa mga tradisyonal na hakbang sa seguridad. Ang mga advanced na taktika sa social engineering ay nangangailangan ng isang maagap na tugon mula sa mga pangkat ng seguridad ng negosyo, na nagbibigay-diin sa mas mataas na pagbabantay at komprehensibong pagsasanay sa empleyado.
Ang modus operandi ng Storm-1811 ay nagsasangkot ng kumbinasyon ng vishing, email bombing, at pagpapanggap ng mga tauhan ng IT upang linlangin at ikompromiso ang mga user. Ang mga mananalakay ay nag-uumapaw sa mga biktima ng mga email bago simulan ang mga vishing na tawag, sinasamantala ang kasunod na pagkalito upang pilitin ang mga biktima na tanggapin ang mga nakakahamak na kahilingan sa Quick Assist. Ang orkestra na pambobomba na ito ay nagsisilbing disorientate ng mga biktima, na nagbibigay ng daan para sa matagumpay na pagmamanipula at kasunod na pag-deploy ng malware.
Ang mga obserbasyon ng Microsoft ay nagpapakita ng paggamit ng Storm-1811 ng iba't ibang malware, kabilang ang Qakbot at Cobalt Strike, na inihatid sa pamamagitan ng mga remote monitoring tool tulad ng ScreenConnect at NetSupport Manager. Kapag naitatag na ang pag-access, ang mga umaatake ay gumagamit ng mga scripted na utos upang mag-download at magsagawa ng mga nakakahamak na payload, na nagpapanatili ng kanilang kontrol sa mga nakompromisong system. Bukod pa rito, ginagamit ng Storm-1811 ang mga tool tulad ng OpenSSH tunneling at PsExec upang mapanatili ang pagtitiyaga at i-deploy ang Black Basta ransomware sa mga network .
Para mabawasan ang mga ganitong pag-atake, pinapayuhan ang mga organisasyon na i-uninstall ang mga remote-access na tool kapag hindi ginagamit at ipatupad ang mga privilege access management solution na may zero-trust architecture. Ang regular na pagsasanay ng empleyado ay pinakamahalaga sa paglinang ng kamalayan sa mga taktika ng social engineering at mga scam sa phishing, na nagbibigay-kapangyarihan sa mga kawani na kilalanin at hadlangan ang mga potensyal na banta. Ang mga advanced na solusyon sa email at pagsubaybay sa kaganapan ay higit na nagpapatibay ng mga depensa, na nagbibigay-daan sa agarang pagtuklas at pagpapagaan ng mga nakakahamak na aktibidad.
Ang pagsasamantala ng mga remote-access na tool sa pamamagitan ng sopistikadong social engineering ay binibigyang-diin ang umuusbong na tanawin ng mga banta sa cyber. Ang pagtugon sa mga hamong ito ay nangangailangan ng isang multi-faceted na diskarte na sumasaklaw sa mga teknolohikal na depensa, edukasyon ng empleyado, at proactive na mga hakbang sa seguridad upang mapangalagaan laban sa malisyosong pagsasamantala.