网络犯罪分子利用 Microsoft 的快速助手功能进行勒索软件攻击

新闻

    微软威胁情报团队表示，他们观察到一名名为Storm-1811的威胁行为者滥用客户端管理工具Quick Assist，在社会工程攻击中以用户为目标。

    该公司在2024年5月15日发布的一份报告中表示：“Storm-1811是一个以财务为动机的网络犯罪集团，以部署黑巴斯塔勒索软件而闻名。”。

    该攻击链包括通过语音网络钓鱼使用冒充，诱骗毫无戒心的受害者安装远程监控和管理（RMM）工具，然后交付QakBot、Cobalt Strike，并最终交付Black Basta勒索软件。

    这家科技巨头表示：“威胁行为者滥用Quick Assist功能进行社会工程攻击，例如假装是值得信赖的联系人，如微软技术支持或目标用户公司的IT专业人员，以获得对目标设备的初始访问权限。”。

    Quick Assist是微软的一款合法应用程序，用户可以通过远程连接与他人共享他们的Windows或macOS设备，主要目的是解决系统上的技术问题。它默认安装在运行Windows 11的设备上。

    为了使攻击更具说服力，威胁行为者发起了链接列表攻击，这是一种电子邮件轰炸攻击，目标电子邮件地址被注册到各种合法的电子邮件订阅服务，以在收件箱中充斥订阅内容。

    然后，对手伪装成公司的IT支持团队，通过给目标用户打电话，声称在补救垃圾邮件问题方面提供帮助，并说服他们通过Quick Assist授予对其设备的访问权限。

    这家Windows制造商表示：“一旦用户允许访问和控制，威胁参与者就会运行一个脚本化的cURL命令，下载一系列用于传递恶意有效载荷的批处理文件或ZIP文件。”。

    “Storm-1811利用他们的访问权限，并执行进一步的键盘操作活动，如域枚举和横向移动。然后，Storm-1011使用PsExec在整个网络中部署Black Basta勒索软件。”

    微软表示，它正在密切关注在这些攻击中滥用Quick Assist的情况，并正在努力在软件中加入警告信息，以通知用户可能存在的技术支持骗局，这些骗局可能有助于勒索软件的交付。

    Rapid7表示，这场运动据信于2024年4月中旬开始，针对的是各种行业和垂直领域，包括制造业、建筑业、食品和饮料以及运输业，这表明了袭击的机会主义性质。

    Rapid7事件响应服务高级经理Robert Knapp在与《黑客新闻》分享的一份声明中表示：“实施这些攻击的低门槛，加上这些攻击对受害者的重大影响，继续使勒索软件成为威胁行为者寻求发薪日的一种非常有效的手段。”。

    微软还将Black Basta描述为一种“封闭的勒索软件产品”，而不是一种勒索软件即服务（RaaS）业务，该业务由核心开发者、附属公司和进行勒索软件和勒索攻击的初始访问代理组成。

    该公司表示，它“由少数威胁参与者分发，他们通常依赖其他威胁参与者进行初始访问、恶意基础设施和恶意软件开发”。

    “自2022年4月黑巴斯塔首次出现以来，黑巴斯塔攻击者在收到QakBot和其他恶意软件分销商的访问后部署了勒索软件，这突出表明组织需要在部署勒索软件之前专注于攻击阶段，以减少威胁。”

    如果不使用Quick Assist和类似的远程监控和管理工具，建议各组织阻止或卸载这些工具，并培训员工识别技术支持骗局。

原文始发于微信公众号（道玄网安驿站）：网络犯罪分子利用 Microsoft 的快速助手功能进行勒索软件攻击