Microsoft Threat Intelligence tim je rekao da je uočio prijetnje koje prati pod imenom Storm-1811 koja zloupotrebljava alat za upravljanje klijentima Quick Assist za ciljanje korisnika u napadima društvenog inženjeringa.
“Storm-1811 je finansijski motivisana sajber kriminalna grupa za koju je poznato da koristi Black Basta ransomware”, navodi kompanija u izvještaju objavljenom 15. maja 2024.
Lanac napada uključuje upotrebu lažnog predstavljanja putem glasovne krađe identiteta kako bi se nesuđene žrtve prevarile da instaliraju alate za daljinsko praćenje i upravljanje (RMM), nakon čega slijedi isporuka QakBot-a, Cobalt Strike-a i na kraju Black Basta ransomware-a.
“Hakeri zloupotrebljavaju funkcije Quick Assist za izvođenje napada socijalnog inženjeringa pretvarajući se, na primjer, da su kontakt od povjerenja kao što je Microsoft tehnička podrška ili IT profesionalac iz kompanije ciljanog korisnika kako bi dobili početni pristup ciljnom uređaju”, rekao je tehnološki gigant .
Quick Assist je legitimna Microsoftova aplikacija koja omogućava korisnicima da dijele svoj Windows ili macOS uređaj s drugom osobom putem udaljene veze, uglavnom s namjerom da uklone tehničke probleme na svojim sistemima. Podrazumijevano je instaliran na uređajima koji koriste Windows 11.
Kako bi napadi bili uvjerljiviji, hakeri pokreću napade sa listingom linkova, vrstu napada bombardovanja putem e-pošte u kojem se ciljane adrese e-pošte prijavljuju za različite legitimne usluge pretplate na e-poštu kako bi preplavile svoje sandučiće pretplaćenim sadržajem.
Protivnik se zatim maskira u IT tim za podršku kompanije putem telefonskih poziva ciljanom korisniku, navodno da nudi pomoć u otklanjanju problema sa neželjenom poštom i omogućava im pristup svom uređaju putem Quick Assist-a.
“Kada korisnik dozvoli pristup i kontrolu, haker pokreće skriptiranu naredbu cURL za preuzimanje niza batch datoteka ili ZIP datoteka koje se koriste za isporuku zlonamjernih korisnih podataka”, rekao je proizvođač Windowsa.
“Storm-1811 koristi njihov pristup i izvodi dalje praktične aktivnosti na tastaturi kao što je nabrajanje domena i bočno pomicanje. Storm-1811 zatim koristi PsExec za postavljanje Black Basta ransomware-a u cijeloj mreži.”
Microsoft je rekao da pažljivo razmatra zloupotrebu Quick Assist-a u ovim napadima i da radi na uključivanju poruke upozorenja u softver kako bi obavijestio korisnike o mogućim prevarama tehničke podrške koje bi mogle olakšati isporuku ransomware-a.
Kampanja, za koju se vjeruje da je započela sredinom aprila 2024, ciljala je na različite industrije i vertikale, uključujući proizvodnju, građevinarstvo, hranu, piće i transport, navodi Rapid7, ukazujući na oportunističku prirodu napada.
“Niska barijera za ulazak u provođenje ovih napada, zajedno sa značajnim uticajima koji ovi napadi imaju na njihove žrtve, nastavljaju činiti ransomware vrlo djelotvornim sredstvom za zaustavljanje hakera koji traže isplatu”, Robert Knapp, viši menadžer odgovora na incidente usluge na Rapid7, navodi u izjavi podijeljenoj za The Hacker News.
Microsoft je takođe opisao Black Basta kao “zatvorenu ponudu ransomware-a” za razliku od operacije ransomware-as-a-service ( RaaS ) koja se sastoji od mreže ključnih programera, podružnica i posrednika za početni pristup koji provode ransomware i napade iznude.
Distribuiše ga mali broj hakera koji se obično oslanjaju na druge hakere za početni pristup, zlonamjernu infrastrukturu i razvoj zlonamjernog softvera, navodi kompanija.
“Od kada se Black Basta prvi put pojavila u aprilu 2022, napadači Black Basta su implementirali ransomware nakon što su dobili pristup od QakBota i drugih distributera zlonamjernog softvera, naglašavajući potrebu da se organizacije fokusiraju na faze napada prije implementacije ransomwarea kako bi smanjile prijetnju.”
Organizacijama se preporučuje da blokiraju ili deinstaliraju Quick Assist i slične alate za daljinsko praćenje i upravljanje ako se ne koriste i takođe obuče zaposlene da prepoznaju prevare tehničke podrške.
Izvor: The Hacker News