Công cụ hỗ trợ nhanh Windows bị lạm dụng có thể giúp đỡ những kẻ đe dọa ransomware Black Basta

Việc sử dụng các công cụ truy cập từ xa đặt ra thách thức kép cho doanh nghiệp, đặc biệt khi bị khai thác bởi các tác nhân đe dọa thành thạo các chiến thuật lừa đảo xã hội phức tạp. Gần đây, Microsoft Threat Intelligence đã nhấn mạnh sự xuất hiện của chiến dịch lừa đảo Black Basta Ransomware được dàn dựng bởi một nhóm có động cơ tài chính được xác định là Storm-1811. Nhóm này sử dụng cách tiếp cận được thiết kế mang tính xã hội, giả dạng các thực thể đáng tin cậy như bộ phận hỗ trợ của Microsoft hoặc nhân viên CNTT nội bộ, để dụ nạn nhân cấp quyền truy cập từ xa thông qua Quick Assist, một ứng dụng Windows hỗ trợ kết nối từ xa.

Sau khi niềm tin được thiết lập và quyền truy cập được cấp, Storm-1811 sẽ tiến hành triển khai nhiều phần mềm độc hại khác nhau, cuối cùng dẫn đến việc phân phối ransomware Black Basta. Phương pháp này nhấn mạnh sự dễ dàng mà các công cụ truy cập từ xa hợp pháp có thể bị thao túng bởi các tác nhân đe dọa có kỹ năng kỹ thuật xã hội lão luyện, bỏ qua các biện pháp an ninh truyền thống. Các chiến thuật kỹ thuật xã hội tiên tiến này đòi hỏi phải có phản ứng chủ động từ các nhóm bảo mật doanh nghiệp, nhấn mạnh đến việc nâng cao cảnh giác và đào tạo nhân viên toàn diện.

Phương thức hoạt động của Storm-1811 bao gồm sự kết hợp của truy cập trực tuyến, đánh bom email và mạo danh nhân viên CNTT để đánh lừa và xâm phạm người dùng. Những kẻ tấn công gửi email cho nạn nhân trước khi thực hiện các cuộc gọi vishing, lợi dụng sự nhầm lẫn sau đó để ép nạn nhân chấp nhận các yêu cầu Hỗ trợ nhanh độc hại. Cuộc bắn phá được dàn dựng này nhằm mục đích làm nạn nhân mất phương hướng, mở đường cho việc thao túng thành công và triển khai phần mềm độc hại sau đó.

Quan sát của Microsoft cho thấy Storm-1811 sử dụng nhiều phần mềm độc hại khác nhau, bao gồm Qakbot và Cobalt Strike, được phân phối thông qua các công cụ giám sát từ xa như ScreenConnect và NetSupport Manager. Sau khi quyền truy cập được thiết lập, kẻ tấn công sử dụng các lệnh theo kịch bản để tải xuống và thực thi các tải trọng độc hại, duy trì quyền kiểm soát của chúng đối với các hệ thống bị xâm nhập. Ngoài ra, Storm-1811 tận dụng các công cụ như đường hầm OpenSSH và PsExec để duy trì tính bền vững và triển khai phần mềm tống tiền Black Basta trên các mạng .

Để giảm thiểu các cuộc tấn công như vậy, các tổ chức nên gỡ cài đặt các công cụ truy cập từ xa khi không sử dụng và triển khai các giải pháp quản lý quyền truy cập đặc quyền với kiến trúc không tin cậy. Đào tạo nhân viên thường xuyên là điều tối quan trọng trong việc nâng cao nhận thức về các chiến thuật lừa đảo qua mạng và lừa đảo, trao quyền cho nhân viên xác định và ngăn chặn các mối đe dọa tiềm ẩn. Các giải pháp email nâng cao và giám sát sự kiện tăng cường hơn nữa khả năng phòng thủ, cho phép phát hiện và giảm thiểu kịp thời các hoạt động độc hại.

Việc khai thác các công cụ truy cập từ xa thông qua kỹ thuật xã hội tinh vi nhấn mạnh bối cảnh ngày càng phát triển của các mối đe dọa mạng. Việc giải quyết những thách thức này đòi hỏi một cách tiếp cận nhiều mặt, bao gồm phòng thủ công nghệ, đào tạo nhân viên và các biện pháp an ninh chủ động để bảo vệ chống lại hành vi khai thác có mục đích xấu.