Windows Quick Assist 在 Black Basta 勒索軟件攻擊中被濫用

胡金魚(yú)
微軟至少?gòu)?024年4月中旬開(kāi)始就一直在調(diào)查這一活動(dòng),他們觀察到,威脅組織(追蹤為Storm-1811)在將其地址訂閱到各種電子郵件訂閱服務(wù)后,通過(guò)電子郵件轟炸目標(biāo)開(kāi)始了攻擊。

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”,作者/胡金魚(yú)。

網(wǎng)絡(luò)犯罪分子在社會(huì)工程攻擊中濫用Windows Quick Assist功能,在受害者的網(wǎng)絡(luò)上部署B(yǎng)lack Basta勒索軟件負(fù)載。

微軟至少?gòu)?024年4月中旬開(kāi)始就一直在調(diào)查這一活動(dòng),他們觀察到,威脅組織(追蹤為Storm-1811)在將其地址訂閱到各種電子郵件訂閱服務(wù)后,通過(guò)電子郵件轟炸目標(biāo)開(kāi)始了攻擊。

一旦他們的郵箱充斥著未經(jīng)請(qǐng)求的消息,威脅分子就會(huì)冒充Microsoft技術(shù)支持人員或受攻擊公司的IT或服務(wù)臺(tái)工作人員給他們打電話,以幫助修復(fù)垃圾郵件問(wèn)題。

在這次語(yǔ)音網(wǎng)絡(luò)釣魚(yú)攻擊中,攻擊者通過(guò)啟動(dòng)Quick Assist內(nèi)置遠(yuǎn)程控制和屏幕共享工具,誘騙受害者授予其Windows設(shè)備訪問(wèn)權(quán)限。

微軟表示:“一旦用戶允許訪問(wèn)和控制,威脅分子就會(huì)運(yùn)行腳本化的cURL命令來(lái)下載一系列用于傳遞惡意負(fù)載的批處理文件或ZIP文件。”在一些情況下,微軟威脅情報(bào)發(fā)現(xiàn)此類活動(dòng)會(huì)導(dǎo)致下載Qakbot、ScreenConnect和NetSupport Manager等RMM工具以及Cobalt Strike。

安裝惡意工具并結(jié)束通話后,Storm-1811會(huì)執(zhí)行域枚舉,在受害者網(wǎng)絡(luò)中橫向移動(dòng),并使用Windows PsExec telnet替換工具部署B(yǎng)lack Basta勒索軟件。

640 (1).png

Quick Assist屏幕共享提示

網(wǎng)絡(luò)安全公司Rapid7也發(fā)現(xiàn)了這些攻擊,該公司表示,惡意分子將使用“批處理腳本,使用PowerShell從命令行獲取受害者的憑據(jù)”。“憑據(jù)是在要求用戶登錄的‘更新’的虛假上下文下收集的。在大多數(shù)觀察到的批處理腳本變體中,憑據(jù)會(huì)通過(guò)安全復(fù)制命令(SCP)立即泄露到威脅行為者的服務(wù)器。

為了阻止這些攻擊,微軟建議網(wǎng)絡(luò)防御者阻止或卸載不使用的Quick Assist和類似的遠(yuǎn)程監(jiān)控和管理工具,并培訓(xùn)員工識(shí)別技術(shù)支持詐騙。

這些攻擊的目標(biāo)僅應(yīng)允許其他人在聯(lián)系其IT支持人員或Microsoft支持人員的情況下連接到其設(shè)備,并在懷疑存在惡意意圖時(shí)立即斷開(kāi)任何快速協(xié)助會(huì)話。

Black Basta勒索軟件操作

兩年前,Conti網(wǎng)絡(luò)犯罪組織因一系列數(shù)據(jù)泄露事件而被關(guān)閉,此后分裂成多個(gè)派系,其中一個(gè)就是Black Basta。

Black Basta于2022年4月以勒索軟件即服務(wù)(RaaS)形式浮出水面。此后,其附屬公司已經(jīng)入侵了許多知名受害者,包括德國(guó)國(guó)防承包商萊茵金屬、英國(guó)技術(shù)外包公司Capita、現(xiàn)代汽車的歐洲分部、多倫多公共圖書(shū)館、美國(guó)牙科協(xié)會(huì)、工業(yè)自動(dòng)化公司和政府承包商ABB、Sobeys、Knauf和加拿大黃頁(yè)。

最近,Black Basta與美國(guó)醫(yī)療保健巨頭Ascension遭受的勒索軟件攻擊有關(guān),迫使其將救護(hù)車轉(zhuǎn)移到未受影響的設(shè)施。

正如CISA和FBI在聯(lián)合咨詢中透露的那樣,Black Basta勒索軟件附屬機(jī)構(gòu)在2022年4月至2024年5月期間侵入了500多個(gè)組織,加密并竊取了16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)中至少12個(gè)部門(mén)的數(shù)據(jù)。

Health-ISAC(信息共享和分析中心)也在公告中稱,勒索軟件團(tuán)伙“最近加速了針對(duì)醫(yī)療保健行業(yè)的攻擊”。

根據(jù)網(wǎng)絡(luò)安全公司Elliptic和網(wǎng)絡(luò)保險(xiǎn)公司Corvus Insurance的研究顯示,截至2023年11月,Black Basta已從90多名受害者那里收取了至少1億美元的贖金。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論