Злочинний інструмент Windows Quick Assist може допомогти особам Black Basta, які займаються загрозою програм-вимагачів

Використання інструментів віддаленого доступу представляє подвійну проблему для підприємств, особливо коли їх використовують суб’єкти загроз, які володіють складною тактикою соціальної інженерії. Нещодавно Microsoft Threat Intelligence висвітлила появу фішингової кампанії Black Basta Ransomware , організованої фінансово мотивованою групою під назвою Storm-1811. Ця група використовує підхід соціальної інженерії, видаючи себе за довірених організацій, як-от служба підтримки Microsoft або внутрішній ІТ-персонал, щоб переконати жертв надати віддалений доступ через Quick Assist, програму Windows, яка полегшує віддалені з’єднання.

Після встановлення довіри та надання доступу Storm-1811 починає розгортати різноманітне зловмисне програмне забезпечення, що завершується розповсюдженням програми-вимагача Black Basta. Цей метод підкреслює легкість, з якою зловмисники, які володіють навичками соціальної інженерії, можуть маніпулювати законними інструментами віддаленого доступу в обхід традиційних заходів безпеки. Ці передові тактики соціальної інженерії вимагають проактивної реакції з боку команд безпеки підприємства, наголошуючи на підвищеній пильності та комплексному навчанні працівників.

Спосіб дії Storm-1811 включає в себе поєднання вишуку, бомбардування електронною поштою та видавання себе за ІТ-персонал з метою обману та компрометації користувачів. Зловмисники завалюють жертв електронними листами, перш ніж ініціювати дзвінки, використовуючи наступну плутанину, щоб змусити жертв прийняти зловмисні запити Quick Assist. Це організоване бомбардування служить для того, щоб дезорієнтувати жертв, прокладаючи шлях для успішних маніпуляцій і подальшого розгортання шкідливого програмного забезпечення.

Спостереження Microsoft показують, що Storm-1811 використовує різноманітне шкідливе програмне забезпечення, включаючи Qakbot і Cobalt Strike, які доставляються через інструменти віддаленого моніторингу, такі як ScreenConnect і NetSupport Manager. Після встановлення доступу зловмисники використовують команди зі сценарієм для завантаження та виконання зловмисних корисних даних, зберігаючи свій контроль над скомпрометованими системами. Крім того, Storm-1811 використовує такі інструменти, як тунелювання OpenSSH і PsExec, щоб підтримувати стійкість і розгортати програми-вимагачі Black Basta у мережах .

Щоб пом’якшити такі атаки, організаціям рекомендується видаляти інструменти віддаленого доступу, коли вони не використовуються, і впроваджувати рішення для керування привілеями доступу з архітектурою нульової довіри. Регулярне навчання співробітників має першорядне значення для підвищення обізнаності про тактику соціальної інженерії та фішинг-шахрайства, розширення можливостей персоналу виявляти та запобігати потенційним загрозам. Удосконалені рішення електронної пошти та моніторинг подій ще більше зміцнюють захист, забезпечуючи швидке виявлення та пом’якшення шкідливих дій.

Використання інструментів віддаленого доступу за допомогою складної соціальної інженерії підкреслює мінливий ландшафт кіберзагроз. Вирішення цих проблем вимагає багатогранного підходу, який включає технологічний захист, навчання співробітників і проактивні заходи безпеки для захисту від зловмисного використання.