“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ransomware Black Basta,” Microsoft cho biết trong một báo cáo công bố vào ngày 15 tháng 5 năm 2024.
Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai QakBot, Cobalt Strike và Black ransomware Basta.
“Những kẻ đe dọa lạm dụng tính năng Hỗ trợ nhanh để thực hiện các cuộc tấn công kỹ thuật xã hội bằng cách mạo danh, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia CNTT. từ công ty của người dùng mục tiêu để có quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.
Hỗ trợ nhanh là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.
Để tăng khả năng nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email được nhắm mục tiêu được sử dụng để đăng ký nhiều dịch vụ. nhiều trò lừa đảo hợp pháp khác nhau nhằm làm tràn ngập hộp thư đến của nạn nhân với nội dung đã đăng ký.
Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi cho người dùng mục tiêu để đề nghị hỗ trợ khắc phục sự cố thư rác và cố gắng thuyết phục họ cấp quyền truy cập vào thiết bị của mình thông qua tính năng Hỗ trợ nhanh.
Microsoft cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai phần mềm độc hại”.
“Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Storm-1811 sau đó sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân.”
Microsoft đang điều tra thêm về việc lạm dụng Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo người dùng về các hành vi lừa đảo hỗ trợ. hỗ trợ kỹ thuật có thể xảy ra.
Rapid7 cho biết chiến dịch này, được cho là đã bắt đầu vào giữa tháng 4 năm nay, nhắm vào nhiều ngành và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải. , cho thấy bản chất cơ hội của các cuộc tấn công.
Robert Knapp, giám đốc cấp cao về ứng phó sự cố, cho biết: “Rào cản gia nhập thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân có nghĩa là ransomware tiếp tục là một phương tiện”. phổ biến là các kẻ đe dọa lạm dụng để thu lợi.”
Microsoft nói thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu tiên vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi giành được quyền truy cập từ QakBot và các nhà phân phối phần mềm độc hại khác, đồng thời nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này”.
Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự khi không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các nỗ lực lừa đảo có thể xảy ra nhằm giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.
Link nguồn: https://cafef.vn/tinh-nang-quick-assist-cua-microsoft-bi-lam-dung-trong-cac-cuoc-tan-cong-ransomware-18824051913404049.chn