Новости Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Атакуя всех подряд, злоумышленники используют проверенный способ проникновения на компьютер.


zs74mxhisew2dfpo349jwd5igcp6asww.jpg


Команда Microsoft Threat Intelligence Для просмотра ссылки Войди или Зарегистрируйся новую кампанию группы Storm-1811, в ходе которой используется инструмент Quick Assist для проведения атак социальной инженерии на пользователей.

Для просмотра ссылки Войди или Зарегистрируйся – легитимное приложение Microsoft, позволяющее пользователю подключаться к другому устройству через удаленное соединение для решения технических проблем. Приложение установлено по умолчанию на устройствах с Windows 11.

Злоумышленник использует Quick Assist для выполнения атак социальной инженерии, притворяясь доверенным контактом, чтобы получить первоначальный доступ к устройству жертвы. Чтобы сделать атаки более убедительными, хакер использует метод link listing , подписывая электронные адреса жертвы на рассылки, чтобы завалить её почтовый ящик спамом.

Затем киберпреступник звонит жертве, представляясь сотрудником техподдержки и предлагая помощь в решении проблемы со спамом. Подключение к устройству происходит через Quick Assist. Когда пользователь разрешает доступ, злоумышленник выполняет команду curl для скачивания и выполнения вредоносных файлов. Полученный доступ используется для перечисления доменов и бокового перемещения по сети, после чего применяется PsExec для распространения программы-вымогателя Black Basta.

Кампания, начавшаяся в середине апреля, нацелена на различные отрасли, включая производство, строительство, пищевую промышленность и транспорт, что свидетельствует об оппортунистической природе атак.

Организациям рекомендуется блокировать или удалять Quick Assist и аналогичные инструменты, если они не используются, и обучать сотрудников распознавать подобные мошенничества.

Storm-1811 – финансово мотивированная группировка, известная использованием программ-вымогателей Black Basta. Схема атаки начинается с имитации телефонных звонков, во время которых злоумышленники, представляясь техподдержкой Microsoft или IT-специалистами компании жертвы, убеждают установить инструменты для удаленного мониторинга и управления. Затем на устройство доставляются QakBot, Cobalt Strike и, в конечном итоге, Black Basta.
 
Источник новости
www.securitylab.ru

Похожие темы