近日,微软威胁情报团队表示,一个名为 Storm-1811 的威胁攻击者正在滥用客户端管理工具 "快速助手"(Quick Assist),针对用户展开社交工程攻击。
Quick Assist 是微软公司推出的一款合法应用程序,允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备,主要用于排除系统中的技术问题,默认安装在运行 Windows 11 的设备上。
2024 年 5 月 15 日,微软威胁情报团队在发布的一份报告中指出,Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。
威胁攻击者冒充安检人员研究人员经过详细分析得出了威胁攻击者的攻击链,首先通过网络钓鱼实施社会工程学攻击,诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具,然后发送 QakBot、Cobalt Strike,最终发送 Black Basta 勒索软件。
整个过程中,威胁攻击者滥用微软'快速助手'功能来实施社会工程学攻击。例如,伪装成受信任的联系人,例如微软技术支持或目标用户所在公司的 IT 专业人员,以获得对潜在攻击目标设备的初始访问权限。
威胁攻击者一开始会想方设法掌握一批受害者的数据信息,此后便向受害者邮箱发送大量垃圾邮件,完成一系列操作后,拨打受害者电话冒充安全公司声称“能够提供协助”,诱骗用户使用系统内置的远程管理软件与其展开通信,以便更进一步侵入用户设备。
为了使网络攻击更有说服力,威胁攻击者还会发起链接列表攻击(一种电子邮件轰炸攻击)这时候,受害目标电子邮件地址会注册各种合法的电子邮件订阅服务,导致其收件箱充斥着订阅的内容。然后,威胁攻击者伪装成公司的 IT 支持团队,给受害目标用户打电话,声称可以帮助他们解决垃圾邮件问题,并说服他们通过 "快速协助"(Quick Assist)授权访问他们的设备。
一旦用户允许访问和控制,威胁攻击者就会运行脚本化的 cURL 命令,下载一系列批处理文件或 ZIP 文件,用于发送恶意有效载荷,在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示,公司的完全团队正在密切关注滥用 "快速助手 "的情况,并正在努力在软件中加入警告信息,以通知用户可能存在的技术支持诈骗,防止诈骗可能会为勒索软件的传播提供便利。
网络安全公司 Rapid7 指出,”快速助手“滥用活动始于 2024 年 4 月中旬,目标涉及包括制造业、建筑业、食品饮料业、银行业以及运输业等多个行业和垂直领域,实施此类攻击的门槛相对很低,再加上这些攻击对受害者造成的重大影响,具有很强的破坏力、以及广泛的受影响范围,给威胁攻击者通过部署勒索软件敛财提供了新思路。
自 2022 年 4 月 出道以来,Black Basta 勒索软件团伙与其它勒索软件组织一样,主要通过实施双重勒索攻击,获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看, Black Basta 自推出以来,累计感染了超过 329 名受害者。
值得注意的是,安全研究人员通过分析区块链交易,发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系,2022 年,Conti 勒索软件团伙停止了攻击活动,差不多同一时间 Black Basta 组织开始活跃。
参考文章:https://thehackernews.com/2024/05/cybercriminals-exploiting-microsofts.html