Команда Microsoft Threat Intelligence заявила, что обнаружила субъекта угрозы, которого она отслеживает под именем Storm-1811, злоупотребляющего инструментом управления клиентами Quick Assist для атак на пользователей социальной инженерии.
"Storm-1811 - финансово мотивированная группа киберпреступников, известная внедрением программы-вымогателя Black Basta", - говорится в отчете компании, опубликованном 15 мая 2024 года.
Цепочка атак включает в себя использование олицетворения посредством голосового фишинга, чтобы обманом заставить ничего не подозревающих жертв установить инструменты удаленного мониторинга и управления (RMM) с последующей доставкой QakBot, Cobalt Strike и, в конечном итоге, Black Basta ransomware.
"Злоумышленники злоупотребляют функциями Quick Assist для проведения атак социальной инженерии, притворяясь, например, доверенным лицом, таким как служба технической поддержки Microsoft, или ИТ-специалистом из компании целевого пользователя, чтобы получить первоначальный доступ к целевому устройству", - сказал технический гигант.
Quick Assist - это законное приложение от Microsoft, которое позволяет пользователям передавать свои устройства с Windows или macOS другому лицу через удаленное соединение, в основном с целью устранения технических неполадок в своих системах. Она установлена по умолчанию на устройствах под управлением Windows 11.
Для придания атакам большей убедительности злоумышленники запускают атаки со списком ссылок - разновидность атаки-бомбардировки электронной почты, при которой целевые адреса электронной почты регистрируются в различных законных службах подписки на электронную почту, чтобы наполнять их почтовые ящики подписанным контентом.
Затем злоумышленник маскируется под команду ИТ-поддержки компании, совершая телефонные звонки целевому пользователю, якобы предлагая помощь в устранении проблемы со спамом и убеждая их предоставить доступ к их устройству с помощью Quick Assist.
"Как только пользователь разрешает доступ и управление, исполнитель угрозы запускает команду cURL по сценарию для загрузки серии пакетных файлов или ZIP-файлов, используемых для доставки вредоносных полезных нагрузок", - сказал производитель Windows.
"Storm-1811 использует их доступ и выполняет дальнейшие действия с клавиатуры, такие как перечисление доменов и боковое перемещение. Затем Storm-1811 использует PsExec для развертывания Black Basta ransomware по всей сети."
Microsoft заявила, что внимательно изучает случаи неправильного использования Quick Assist в этих атаках и что она работает над включением предупреждающих сообщений в программное обеспечение для уведомления пользователей о возможных мошенничествах со службой технической поддержки, которые могут облегчить доставку программ-вымогателей.
Кампания, которая, как считается, началась в середине апреля 2024 года, была нацелена на различные отрасли и вертикали, включая производство, строительство, продукты питания и напитки, а также транспорт, сказал Rapid7, указывая на оппортунистический характер атак.
"Низкий барьер доступа для проведения этих атак в сочетании со значительным воздействием, которое эти атаки оказывают на их жертв, по-прежнему делают программы-вымогатели очень эффективным средством для устранения угроз, стремящихся к деньгам", - сказал Роберт Кнапп, старший менеджер служб реагирования на инциденты в Rapid7, в заявлении, опубликованном в Hacker News.
Microsoft также описала Black Basta как "закрытое предложение программ-вымогателей" в отличие от операции "вымогательство как услуга" (RaaS), которая включает сеть основных разработчиков, аффилированных лиц и брокеров начального доступа, которые проводят атаки с использованием программ-вымогателей и с вымогательством.
Она "распространяется небольшим количеством участников угрозы, которые обычно полагаются на других участников угрозы для первоначального доступа, вредоносной инфраструктуры и разработки вредоносного ПО", - говорится в сообщении компании.
"С момента первого появления Black Basta в апреле 2022 года злоумышленники Black Basta внедрили программу-вымогатель после получения доступа от QakBot и других распространителей вредоносного ПО, подчеркивая необходимость того, чтобы организации сосредоточились на этапах атаки до развертывания программы-вымогателя, чтобы уменьшить угрозу ".
Организациям рекомендуется заблокировать или удалить Quick Assist и аналогичные инструменты удаленного мониторинга и управления, если они не используются, и обучить сотрудников распознавать мошенников из службы технической поддержки.
"Storm-1811 - финансово мотивированная группа киберпреступников, известная внедрением программы-вымогателя Black Basta", - говорится в отчете компании, опубликованном 15 мая 2024 года.
Цепочка атак включает в себя использование олицетворения посредством голосового фишинга, чтобы обманом заставить ничего не подозревающих жертв установить инструменты удаленного мониторинга и управления (RMM) с последующей доставкой QakBot, Cobalt Strike и, в конечном итоге, Black Basta ransomware.
"Злоумышленники злоупотребляют функциями Quick Assist для проведения атак социальной инженерии, притворяясь, например, доверенным лицом, таким как служба технической поддержки Microsoft, или ИТ-специалистом из компании целевого пользователя, чтобы получить первоначальный доступ к целевому устройству", - сказал технический гигант.
Quick Assist - это законное приложение от Microsoft, которое позволяет пользователям передавать свои устройства с Windows или macOS другому лицу через удаленное соединение, в основном с целью устранения технических неполадок в своих системах. Она установлена по умолчанию на устройствах под управлением Windows 11.
Для придания атакам большей убедительности злоумышленники запускают атаки со списком ссылок - разновидность атаки-бомбардировки электронной почты, при которой целевые адреса электронной почты регистрируются в различных законных службах подписки на электронную почту, чтобы наполнять их почтовые ящики подписанным контентом.
Затем злоумышленник маскируется под команду ИТ-поддержки компании, совершая телефонные звонки целевому пользователю, якобы предлагая помощь в устранении проблемы со спамом и убеждая их предоставить доступ к их устройству с помощью Quick Assist.
"Как только пользователь разрешает доступ и управление, исполнитель угрозы запускает команду cURL по сценарию для загрузки серии пакетных файлов или ZIP-файлов, используемых для доставки вредоносных полезных нагрузок", - сказал производитель Windows.
"Storm-1811 использует их доступ и выполняет дальнейшие действия с клавиатуры, такие как перечисление доменов и боковое перемещение. Затем Storm-1811 использует PsExec для развертывания Black Basta ransomware по всей сети."
Microsoft заявила, что внимательно изучает случаи неправильного использования Quick Assist в этих атаках и что она работает над включением предупреждающих сообщений в программное обеспечение для уведомления пользователей о возможных мошенничествах со службой технической поддержки, которые могут облегчить доставку программ-вымогателей.
Кампания, которая, как считается, началась в середине апреля 2024 года, была нацелена на различные отрасли и вертикали, включая производство, строительство, продукты питания и напитки, а также транспорт, сказал Rapid7, указывая на оппортунистический характер атак.
"Низкий барьер доступа для проведения этих атак в сочетании со значительным воздействием, которое эти атаки оказывают на их жертв, по-прежнему делают программы-вымогатели очень эффективным средством для устранения угроз, стремящихся к деньгам", - сказал Роберт Кнапп, старший менеджер служб реагирования на инциденты в Rapid7, в заявлении, опубликованном в Hacker News.
Microsoft также описала Black Basta как "закрытое предложение программ-вымогателей" в отличие от операции "вымогательство как услуга" (RaaS), которая включает сеть основных разработчиков, аффилированных лиц и брокеров начального доступа, которые проводят атаки с использованием программ-вымогателей и с вымогательством.
Она "распространяется небольшим количеством участников угрозы, которые обычно полагаются на других участников угрозы для первоначального доступа, вредоносной инфраструктуры и разработки вредоносного ПО", - говорится в сообщении компании.
"С момента первого появления Black Basta в апреле 2022 года злоумышленники Black Basta внедрили программу-вымогатель после получения доступа от QakBot и других распространителей вредоносного ПО, подчеркивая необходимость того, чтобы организации сосредоточились на этапах атаки до развертывания программы-вымогателя, чтобы уменьшить угрозу ".
Организациям рекомендуется заблокировать или удалить Quick Assist и аналогичные инструменты удаленного мониторинга и управления, если они не используются, и обучить сотрудников распознавать мошенников из службы технической поддержки.
