微软威胁情报部门5月15日发布报告,揭露了一个名为Storm-1811的网络犯罪组织自4月中旬以来所进行的Black Basta勒索软件钓鱼活动。该组织通过社交工程手段,冒充可信的联系人,如微软技术支持人员或目标公司的IT专业人员,诱使受害者使用Quick Assist远程访问其计算机。Quick Assist是一款允许用户远程共享Windows或macOS设备的Windows应用程序。攻击者通过语音钓鱼或电子邮件轰炸,假装提供帮助以解决垃圾邮件问题,从而获得受害者的信任。一旦建立了远程连接,Storm-1811便向受害者的计算机传送一系列恶意软件,包括远程监控和管理工具以及Qakbot和Cobalt Strike等恶意软件,最终部署Black Basta勒索软件以获取经济利益。滥用合法的Windows工具-Quick AssistQuick Assist是一款应用程序,使用户能够通过远程连接与其他人共享其Windows或macOS设备。这使得连接用户能够远程连接到接收用户的设备并查看其显示、进行注释或完全控制,通常用于故障排除。威胁行为者滥用Quick Assist功能来执行社会工程攻击,以获得对目标设备的初始访问权限。除了保护客户免受观察到的恶意活动的侵害之外,Microsoft还在调查Quick Assist在这些攻击中的使用情况,并致力于提高帮助者和共享者之间的透明度和信任,并在Quick Assist中纳入警告消息,以提醒用户可能存在技术支持诈骗。根据Microsoft Threat Intelligence在博客文章中透露,一旦建立信任并获得远程访问权限,Storm-1811就会使用此通道向受害者计算机远程传送各种恶意软件,最终投送Black Basta勒索软件以获取经济利益。受害者还可能收到大量电子邮件,然后收到冒充IT或服务台人员的威胁行为者打来的钓鱼电话。安全专家表示,这些攻击表明,威胁行为者滥用合法的远程访问工具来欺骗和危害用户是多么容易,特别是如果他们让受害者陷入恶意诡计的社交工程技能非常扎实的话。安全公司Keeper Security首席执行官兼联合创始人达伦·古奇奥内(Darren Guccione )在一封电子邮件中指出:“网络犯罪分子在无法使用基本网络钓鱼电子邮件或泄露弱凭据等更简单的方法来破坏[组织]时,就会使用高级社会工程攻击。”他说,攻击者通过这些策略所表现出的日益复杂性以及他们对远程访问工具的巧妙使用,凸显了对员工进行持续培训和教育的持续需要,以帮助他们发现这些技巧的演变。“由于Quick Assist允许用户通过远程连接共享他们的设备,因此该应用程序有可能造成破坏性的恶意活动,”Guccione说。在Microsoft Threat Intelligence描述的攻击媒介中,Storm-1811要么使用语音钓鱼“冒充IT或服务台人员,假装在设备上进行通用修复”,要么进行电子邮件轰炸,用有关服务的内容淹没用户的收件箱。微软表示:“电子邮件泛滥之后,威胁行为者通过给目标用户打电话来冒充IT支持人员,声称可以提供修复垃圾邮件问题的帮助。”事实上,这种电子邮件轰炸是高级社会工程的一个关键方面,它的作用是“在攻击者通过电话操纵受害者接受恶意的快速协助请求之前压倒和迷惑受害者”,SlashNext的现场首席技术官Stephen Kowski指出。。一旦建立此连接,攻击者就可以随意在受害者的计算机上进行操作。对于Rapid 7和Microsoft所描述的攻击,该活动最终以 Black Basta勒索软件的部署而结束。微软还观察到Storm-1811在Black Basta有效负载之前向受害者计算机发送一系列恶意软件,包括ScreenConnect和NetSupport Manager等远程监控和管理(RMM)工具、Qakbot和Cobalt Strike等恶意软件。一旦通过Quick Assist获得访问权限,攻击者就会运行脚本化的curl命令来下载一系列用于传递各种恶意负载的批处理文件或ZIP文件。据微软称,一些批处理脚本建议使用虚假的垃圾邮件过滤器更新,要求目标提供登录凭据。Storm-1811随后使用Qakbot传送Cobalt Strike Beacon,接下来通过ScreenConnect在受感染的环境中建立持久性并进行横向移动。微软表示,部署另一个远程访问工具NetSupport Manager可能是为了保持对受感染设备的控制,以进一步下载和安装其他恶意软件,以及启动任意命令。在某些情况下,Storm-1811还利用OpenSSH隧道工具来建立安全外壳(SSH)隧道以实现持久性。最终,攻击者使用PsExec在整个网络中部署Black Basta勒索软件。Black Basta2022年4月首次出现,是一种封闭式勒索软件产品(独家且不像勒索软件即服务那样公开营销),由少数威胁行为者分发,这些威胁行为者通常依赖其他威胁行为者进行初始访问、恶意基础设施和恶意软件开发。Microsoft建议采用以下最佳实践来保护用户和组织免受滥用Quick Assist的攻击和威胁行为者的侵害。1、如果您的环境中未使用Quick Assist和其他远程监控和管理工具,请考虑阻止或卸载这些工具。如果您的组织使用其他远程支持工具(例如远程帮助),最好阻止或删除快速协助。远程帮助是Microsoft Intune套件的一部分,为帮助台连接提供身份验证和安全控制。2、教育用户如何保护自己免受技术支持诈骗。技术支持诈骗是一个全行业的问题,诈骗者使用可怕的策略来诱骗用户获得不必要的技术支持服务。3、仅当您通过直接联系Microsoft支持或您的IT支持人员发起交互时,才允许帮助者使用Quick Assist连接到您的设备。请勿向任何声称迫切需要访问您的设备的人提供访问权限。4、如果您怀疑连接到您设备的人正在进行恶意活动,请立即断开会话并向您的地方当局和/或组织内的任何相关IT成员报告。5、受到技术支持诈骗影响的用户还可以使用Microsoft技术支持诈骗表单进行举报。1.https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/2.https://www.darkreading.com/threat-intelligence/windows-quick-assist-anchors-black-basta-ransomware
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247543788&idx=1&sn=798efafd2646ff0993789aa3c3639bc8&chksm=c1e9a7bdf69e2eab8b09cc53a20573aff99ce77923f78a7015e2484469df95f4b214b863adeb&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh