Quick Assist 是微软公司推出的一款合法应用程序,允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备,主要用于排除系统中的技术问题,默认安装在运行 Windows 11 的设备上。
2024 年 5 月 15 日,微软威胁情报团队在发布的一份报告中指出,Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。
威胁攻击者冒充安检人员
研究人员经过详细分析得出了威胁攻击者的攻击链,首先通过网络钓鱼实施社会工程学攻击,诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具,然后发送 QakBot、Cobalt Strike,最终发送 Black Basta 勒索软件。
整个过程中,威胁攻击者滥用微软「快速助手」功能来实施社会工程学攻击。例如,伪装成受信任的联系人,例如微软技术支持或目标用户所在公司的 IT 专业人员,以获得对潜在攻击目标设备的初始访问权限。
威胁攻击者一开始会想方设法掌握一批受害者的数据信息,此后便向受害者邮箱发送大量垃圾邮件,完成一系列操作后,拨打受害者电话冒充安全公司声称「能够提供协助」,诱骗用户使用系统内置的远程管理软件与其展开通信,以便更进一步侵入用户设备。
为了使网络攻击更有说服力,威胁攻击者还会发起链接列表攻击(一种电子邮件轰炸攻击)。这时候,受害目标电子邮件地址会注册各种合法的电子邮件订阅服务,导致其收件箱充斥着订阅的内容。然后,威胁攻击者伪装成公司的 IT 支持团队,给受害目标用户打电话,声称可以帮助他们解决垃圾邮件问题,并说服他们通过「快速协助」(Quick Assist)授权访问他们的设备。
一旦用户允许访问和控制,威胁攻击者就会运行脚本化的 cURL 命令,下载一系列批处理文件或 ZIP 文件,用于发送恶意有效载荷,在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示,公司的完全团队正在密切关注滥用 "快速助手 "的情况,并正在努力在软件中加入警告信息,以通知用户可能存在的技术支持诈骗,防止诈骗可能会为勒索软件的传播提供便利。
网络安全公司 Rapid7 指出,「快速助手」滥用活动始于 2024 年 4 月中旬,目标涉及包括制造业、建筑业、食品饮料业、银行业以及运输业等多个行业和垂直领域,实施此类攻击的门槛相对很低,再加上这些攻击对受害者造成的重大影响,具有很强的破坏力、以及广泛的受影响范围,给威胁攻击者通过部署勒索软件敛财提供了新思路。
自 2022 年 4 月 出道以来,Black Basta 勒索软件团伙与其它勒索软件组织一样,主要通过实施双重勒索攻击,获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看, Black Basta 自推出以来,累计感染了超过 329 名受害者。
值得注意的是,安全研究人员通过分析区块链交易,发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系,2022 年,Conti 勒索软件团伙停止了攻击活动,差不多同一时间 Black Basta 组织开始活跃。
参考资料
https://thehackernews.com/2024/05/cybercriminals-exploiting-microsofts.html