Tội phạm mạng khai thác tính năng hỗ trợ nhanh của Microsoft trong các cuộc tấn công ransomware

Nhóm Thông tin về mối đe dọa của Microsoft cho biết họ đã quan sát thấy một tác nhân đe dọa mà họ theo dõi dưới tên Storm-1811 đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.

“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến để triển khai ransomware Black Basta”, công ty cho biết trong một báo cáo công bố vào ngày 15 tháng 5 năm 2024.

Chuỗi tấn công liên quan đến việc sử dụng mạo danh thông qua lừa đảo bằng giọng nói để lừa những nạn nhân không nghi ngờ cài đặt các công cụ quản lý và giám sát từ xa (RMM), sau đó là phân phối QakBot, Cobalt Strike và cuối cùng là ransomware Black Basta.

“Những kẻ đe dọa lạm dụng các tính năng Hỗ trợ nhanh để thực hiện các cuộc tấn công kỹ thuật xã hội bằng cách giả vờ, chẳng hạn như là một liên hệ đáng tin cậy như bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia CNTT từ công ty của người dùng mục tiêu để có quyền truy cập ban đầu vào thiết bị mục tiêu”, gã khổng lồ công nghệ cho biết. .

Hỗ trợ nhanh là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.

Để làm cho các cuộc tấn công trở nên thuyết phục hơn, các tác nhân đe dọa tiến hành các cuộc tấn công danh sách liên kết, một kiểu tấn công ném bom email trong đó các địa chỉ email được nhắm mục tiêu được đăng ký cho các dịch vụ đăng ký email hợp pháp khác nhau để làm tràn ngập hộp thư đến của chúng với nội dung đã đăng ký.

Sau đó, kẻ thù giả dạng nhóm hỗ trợ CNTT của công ty thông qua các cuộc gọi điện thoại tới người dùng mục tiêu, với mục đích cung cấp hỗ trợ khắc phục vấn đề thư rác và thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua Hỗ trợ nhanh.

Nhà sản xuất Windows cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL theo kịch bản để tải xuống một loạt tệp bó hoặc tệp ZIP được sử dụng để phân phối tải trọng độc hại”.

"Storm-1811 tận dụng quyền truy cập của họ và thực hiện các hoạt động thực hành khác trên bàn phím như liệt kê tên miền và di chuyển theo chiều ngang. Storm-1811 sau đó sử dụng PsExec để triển khai ransomware Black Basta trên toàn mạng."

Microsoft cho biết họ đang xem xét kỹ lưỡng việc sử dụng sai mục đích Hỗ trợ nhanh trong các cuộc tấn công này và đang nỗ lực kết hợp các thông báo cảnh báo trong phần mềm để thông báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra, có thể tạo điều kiện thuận lợi cho việc phát tán ransomware.

Rapid7 cho biết, chiến dịch này, được cho là bắt đầu vào giữa tháng 4 năm 2024, đã nhắm mục tiêu vào nhiều ngành công nghiệp và ngành dọc, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính chất cơ hội của các cuộc tấn công.

Robert Knapp, giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản gia nhập thấp để thực hiện các cuộc tấn công này, cùng với những tác động đáng kể mà các cuộc tấn công này gây ra đối với nạn nhân, tiếp tục khiến ransomware trở thành một phương tiện rất hiệu quả để chấm dứt các tác nhân đe dọa đang tìm kiếm ngày trả lương”. dịch vụ tại Rapid7, cho biết trong một tuyên bố được chia sẻ với The Hacker News.

Microsoft cũng đã mô tả Black Basta là một "chương trình ransomware khép kín" trái ngược với hoạt động ransomware-as-a-service (RaaS) bao gồm một mạng lưới các nhà phát triển cốt lõi, các chi nhánh và nhà môi giới truy cập ban đầu thực hiện các cuộc tấn công ransomware và tống tiền.

Công ty cho biết, nó “được phân phối bởi một số ít tác nhân đe dọa, những người thường dựa vào các tác nhân đe dọa khác để truy cập ban đầu, cơ sở hạ tầng độc hại và phát triển phần mềm độc hại”.

“Kể từ khi Black Basta xuất hiện lần đầu tiên vào tháng 4 năm 2022, những kẻ tấn công Black Basta đã triển khai ransomware sau khi nhận được quyền truy cập từ QakBot và các nhà phân phối phần mềm độc hại khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa.”

Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo hỗ trợ kỹ thuật.

Hương – Theo TheHackerNews