Man
Professional
- Messages
- 3,049
- Reaction score
- 573
- Points
- 113
Последняя афера службы поддержки Storm-1811 началась с бомбардировки электронной почты и закончилась вирусом-вымогателем Black Basta.
Red Canary обнаружила вероятную активность Storm-1811 у нескольких клиентов за последние несколько недель. Storm-1811 — это название Microsoft для финансово мотивированного субъекта угроз, который использует социальную инженерию, чтобы выдавать себя за сотрудников службы поддержки или других ИТ-администраторов, чтобы получить начальный доступ к средам с помощью инструментов удаленного мониторинга и управления (RMM) — в данном случае Microsoft Quick Assist — на конечных точках жертвы. Без оперативного реагирования эта деятельность может привести к появлению в вашей среде программы-вымогателя Black Basta.
Путь атаки Storm-1811
В соответствии с активностью Storm-1811, о которой мы сообщали в нашем отчете Intelligence Insights за июнь 2024 года, недавно наблюдаемая активность началась с бомбардировки электронной почты, чтобы заполнить почтовый ящик жертвы спамом, после чего злоумышленник, выдавая себя за ИТ-администратора, предложил помочь с проблемой электронной почты, связавшись с пользователем по телефону или по ссылке для присоединения к звонку Microsoft Teams. После контакта злоумышленник побуждал пользователя запустить Microsoft Quick Assist или загрузить и запустить AnyDesk или TeamViewer для предоставления удаленного доступа. Атака продолжилась разведкой, боковым перемещением и созданием бэкдора туннеля SSH.
Более подробную информацию о вирусе-вымогателе Black Basta можно найти в недавнем сообщении CISA #StopRansomware.
Источник
Red Canary обнаружила вероятную активность Storm-1811 у нескольких клиентов за последние несколько недель. Storm-1811 — это название Microsoft для финансово мотивированного субъекта угроз, который использует социальную инженерию, чтобы выдавать себя за сотрудников службы поддержки или других ИТ-администраторов, чтобы получить начальный доступ к средам с помощью инструментов удаленного мониторинга и управления (RMM) — в данном случае Microsoft Quick Assist — на конечных точках жертвы. Без оперативного реагирования эта деятельность может привести к появлению в вашей среде программы-вымогателя Black Basta.
Путь атаки Storm-1811
В соответствии с активностью Storm-1811, о которой мы сообщали в нашем отчете Intelligence Insights за июнь 2024 года, недавно наблюдаемая активность началась с бомбардировки электронной почты, чтобы заполнить почтовый ящик жертвы спамом, после чего злоумышленник, выдавая себя за ИТ-администратора, предложил помочь с проблемой электронной почты, связавшись с пользователем по телефону или по ссылке для присоединения к звонку Microsoft Teams. После контакта злоумышленник побуждал пользователя запустить Microsoft Quick Assist или загрузить и запустить AnyDesk или TeamViewer для предоставления удаленного доступа. Атака продолжилась разведкой, боковым перемещением и созданием бэкдора туннеля SSH.
Более подробную информацию о вирусе-вымогателе Black Basta можно найти в недавнем сообщении CISA #StopRansomware.
Источник
