Storm-1811为社会工程开发快速辅助,为黑巴斯塔勒索软件铺平道路
通过做儿子·
Microsoft威胁情报未覆盖的由网络犯罪组织Storm-1811策划的复杂勒索软件活动。这一邪恶的计划涉及一种新的策略,即利用微软的Quick Assist(一种合法的远程协助工具)获得对受害者设备的未经授权访问。
这个攻击链始于一个看似无害的电话。Storm-1811成员伪装成IT专业人员或Microsoft支持代理等可信人物,参与语音钓鱼(vishing)策略,操纵毫无戒心的个人通过Quick Assist授予他们访问权限。一旦建立连接,攻击者就会夺取控制权,为一系列恶意活动打开闸门。
![](https://b3442631.smushcdn.com/3442631/wp-content/uploads/2024/05/Fig2-Quick-Assist.webp?lossy=1&strip=1&webp=1)
“快速帮助”对话框请求允许屏幕共享的权限
微软的调查显示,在最初的妥协之后,有一系列精心策划的攻击。Storm-1811迅速部署了一系列恶意工具,包括Qakbot、Cobalt Strike和远程监控和管理(RMM)软件,如ScreenConnect和NetSupport Manager。这些工具使攻击者能够保持持久访问,在网络内进行侦察,并最终释放破坏性的黑巴斯塔勒索软件.
这一勒索软件以其排他性和严重影响而闻名,在其之前通常会在受损网络中进行广泛的基础工作:
- 横向运动:ScreenConnect等工具可促进网络内的移动,使威胁行为体能够规划环境并计划攻击。
- 坚持不懈:攻击者利用NetSupport Manager,有时通过OpenSSH使用SSH隧道,保持对网络的控制。
- 勒索软件部署:最后,使用PsExec、Black Basta等工具勒索软件通过网络传播,加密数据并索要赎金。
为了抵消对Quick Assist的滥用以及随后的勒索软件风险,微软和网络安全专家建议了几种策略:
- 教育计划:教员工如何识别和应对社会工程攻击至关重要。这包括审查意外技术支持呼叫的合法性,并在授予访问权限之前验证身份。
- 工具限制:对于不需要Quick Assist等远程协助工具的组织,禁用或卸载这些应用程序可以减少漏洞。
- 增强的监视:部署诸如Microsoft Defender for Endpoint之类的高级监视解决方案可以帮助检测Quick Assist会话中产生的异常活动。
- 安全更新:使用最新的安全补丁更新系统,并鼓励对所有帐户使用强大、唯一的密码。
标签: 黑巴斯塔勒索软件用于终结点的Microsoft Defender快速辅助风暴-1811