滥用 Windows 快速辅助工具可能帮助 Black Basta 勒索软件威胁行为者

远程访问工具的使用对企业来说是一个双重挑战，尤其是当被精通复杂社会工程策略的威胁者利用时。最近，微软威胁情报重点指出，一个以经济为目的的团体 Storm-1811 策划了一场Black Basta 勒索软件网络钓鱼活动。该组织采用社会工程方法，伪装成 Microsoft 支持或内部 IT 人员等受信任实体，诱骗受害者通过 Quick Assist（一种促进远程连接的 Windows 应用程序）授予远程访问权限。

一旦建立信任并获得访问权限，Storm-1811 便会开始部署各种恶意软件，最终导致 Black Basta 勒索软件的传播。这种方法凸显了合法远程访问工具很容易被拥有熟练社交工程技能的威胁者操纵，从而绕过传统安全措施。这些先进的社交工程策略需要企业安全团队采取主动响应，强调提高警惕和全面的员工培训。

Storm-1811 的作案手法包括语音钓鱼、电子邮件轰炸和冒充 IT 人员，以欺骗和危害用户。攻击者先向受害者发送大量电子邮件，然后发起语音钓鱼电话，利用随后的混乱局面，强迫受害者接受恶意的快速协助请求。这种精心策划的轰炸旨在迷惑受害者，为成功操纵和随后部署恶意软件铺平道路。

微软的观察显示，Storm-1811 使用各种恶意软件，包括 Qakbot 和 Cobalt Strike，这些恶意软件通过 ScreenConnect 和 NetSupport Manager 等远程监控工具进行传播。一旦建立访问权限，攻击者就会使用脚本命令下载并执行恶意负载，从而持续控制受感染的系统。此外，Storm-1811 还利用 OpenSSH 隧道和 PsExec 等工具来保持持久性并在网络上部署 Black Basta 勒索软件。

为了缓解此类攻击，建议组织在不使用时卸载远程访问工具，并实施具有零信任架构的特权访问管理解决方案。定期的员工培训对于培养对社会工程策略和网络钓鱼诈骗的认识至关重要，使员工能够识别和阻止潜在威胁。先进的电子邮件解决方案和事件监控进一步加强了防御能力，能够及时检测和缓解恶意活动。

通过复杂的社交工程手段利用远程访问工具凸显了网络威胁的不断演变。应对这些挑战需要采取多方面的方法，包括技术防御、员工教育和主动安全措施，以防止恶意利用。