Storm-1811为社会工程开发快速辅助，为黑巴斯塔勒索软件铺平道路

Microsoft威胁情报未覆盖的由网络犯罪组织Storm-1811策划的复杂勒索软件活动。这一邪恶的计划涉及一种新的策略，即利用微软的Quick Assist（一种合法的远程协助工具）获得对受害者设备的未经授权访问。

这个攻击链始于一个看似无害的电话。Storm-1811成员伪装成IT专业人员或Microsoft支持代理等可信人物，参与语音钓鱼（vishing）策略，操纵毫无戒心的个人通过Quick Assist授予他们访问权限。一旦建立连接，攻击者就会夺取控制权，为一系列恶意活动打开闸门。

“快速帮助”对话框请求允许屏幕共享的权限

微软的调查显示，在最初的妥协之后，有一系列精心策划的攻击。Storm-1811迅速部署了一系列恶意工具，包括Qakbot、Cobalt Strike和远程监控和管理（RMM）软件，如ScreenConnect和NetSupport Manager。这些工具使攻击者能够保持持久访问，在网络内进行侦察，并最终释放破坏性的黑巴斯塔勒索软件.

这一勒索软件以其排他性和严重影响而闻名，在其之前通常会在受损网络中进行广泛的基础工作：

• 横向运动：ScreenConnect等工具可促进网络内的移动，使威胁行为体能够规划环境并计划攻击。
• 坚持不懈：攻击者利用NetSupport Manager，有时通过OpenSSH使用SSH隧道，保持对网络的控制。
• 勒索软件部署：最后，使用PsExec、Black Basta等工具勒索软件通过网络传播，加密数据并索要赎金。

为了抵消对Quick Assist的滥用以及随后的勒索软件风险，微软和网络安全专家建议了几种策略：

1. 教育计划：教员工如何识别和应对社会工程攻击至关重要。这包括审查意外技术支持呼叫的合法性，并在授予访问权限之前验证身份。
2. 工具限制：对于不需要Quick Assist等远程协助工具的组织，禁用或卸载这些应用程序可以减少漏洞。
3. 增强的监视：部署诸如Microsoft Defender for Endpoint之类的高级监视解决方案可以帮助检测Quick Assist会话中产生的异常活动。
4. 安全更新：使用最新的安全补丁更新系统，并鼓励对所有帐户使用强大、唯一的密码。