Windows Quick Assist 在 Black Basta 勒索软件攻击中被滥用 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Windows Quick Assist 在 Black Basta 勒索软件攻击中被滥用

胡金鱼 新闻 2024-06-05 12:01:00
72282
收藏

导语:截至 2023 年 11 月,Black Basta 已从 90 多名受害者那里收取了至少 1 亿美元的赎金。

网络犯罪分子在社会工程攻击中滥用 Windows Quick Assist 功能,在受害者的网络上部署 Black Basta 勒索软件负载。

微软至少从 2024 年 4 月中旬开始就一直在调查这一活动,他们观察到,威胁组织(追踪为 Storm-1811)在将其地址订阅到各种电子邮件订阅服务后,通过电子邮件轰炸目标开始了攻击。

一旦他们的邮箱充斥着未经请求的消息,威胁分子就会冒充 Microsoft 技术支持人员或受攻击公司的 IT 或服务台工作人员给他们打电话,以帮助修复垃圾邮件问题。

在这次语音网络钓鱼攻击中,攻击者通过启动 Quick Assist 内置远程控制和屏幕共享工具,诱骗受害者授予其 Windows 设备访问权限。

微软表示:“一旦用户允许访问和控制,威胁分子就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。”在一些情况下,微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。

安装恶意工具并结束通话后,Storm-1811 会执行域枚举,在受害者网络中横向移动,并使用 Windows PsExec telnet 替换工具部署 Black Basta 勒索软件。

Quick_Assist_screen_sharing_prompts.webp.jpg

Quick Assist 屏幕共享提示

网络安全公司 Rapid7 也发现了这些攻击,该公司表示,恶意分子将使用“批处理脚本,使用 PowerShell 从命令行获取受害者的凭据”。“凭据是在要求用户登录的‘更新’的虚假上下文下收集的。在大多数观察到的批处理脚本变体中,凭据会通过安全复制命令 (SCP) 立即泄露到威胁行为者的服务器。

为了阻止这些攻击,微软建议网络防御者阻止或卸载不使用的 Quick Assist 和类似的远程监控和管理工具,并培训员工识别技术支持诈骗。

这些攻击的目标仅应允许其他人在联系其 IT 支持人员或 Microsoft 支持人员的情况下连接到其设备,并在怀疑存在恶意意图时立即断开任何快速协助会话。

Black Basta 勒索软件操作

两年前,Conti 网络犯罪组织因一系列数据泄露事件而被关闭,此后分裂成多个派系,其中一个就是 Black Basta。

Black Basta 于 2022 年 4 月以勒索软件即服务 (RaaS) 形式浮出水面。此后,其附属公司已经入侵了许多知名受害者,包括德国国防承包商莱茵金属、英国技术外包公司 Capita、现代汽车的欧洲分部、多伦多公共图书馆、美国牙科协会、工业自动化公司和政府承包商 ABB、Sobeys、Knauf 和加拿大黄页。

最近,Black Basta 与美国医疗保健巨头 Ascension 遭受的勒索软件攻击有关,迫使其将救护车转移到未受影响的设施。

正如 CISA 和 FBI 在联合咨询中透露的那样,Black Basta 勒索软件附属机构在 2022 年 4 月至 2024 年 5 月期间侵入了 500 多个组织,加密并窃取了 16 个关键基础设施部门中至少 12 个部门的数据。

Health-ISAC(信息共享和分析中心)也在公告中称,勒索软件团伙“最近加速了针对医疗保健行业的攻击”。

根据网络安全公司 Elliptic 和网络保险公司 Corvus Insurance 的研究显示,截至 2023 年 11 月,Black Basta 已从 90 多名受害者那里收取了至少 1 亿美元的赎金。

文章翻译自:https://www.bleepingcomputer.com/news/security/windows-quick-assist-abused-in-black-basta-ransomware-attacks/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务