犯罪分子滥用 Microsoft Quick Assist 部署 Black Basta 勒索软件 • –

犯罪分子滥用 Microsoft Quick Assist 部署 Black Basta 勒索软件 • –
犯罪分子滥用 Microsoft Quick Assist 部署 Black Basta 勒索软件 • –

一个网络犯罪团伙一直在社会工程攻击中滥用 Microsoft 的 Quick Assist 应用程序,最终让其利用 Black Basta 勒索软件感染受害者。

据雷德蒙德称,该活动自 4 月中旬以来一直在持续,并将入侵归咎于其追踪的一个名为 Storm-1811 的经济动机组织。

微软没有立即回应 登记册有关攻击的问题,包括有多少客户受到攻击。 当我们收到回复时,我们将更新这个故事。

Quick Assist 是 Windows 11 中默认安装的软件工具,允许某人与远程用户(通常是企业 IT 人员)共享其 PC 或 macOS 设备,然后远程用户可以远程控制计算机。 这也使得诈骗者更容易冒充技术支持,诱骗人们给予他们对目标设备的完全访问权限。

“微软正在调查 Quick Assist 在这些攻击中的使用情况,并致力于提高帮助者和共享者之间的透明度和信任,并在 Quick Assist 中加入警告消息,以提醒用户可能存在技术支持诈骗,”Windows 巨头 在周三的警报中。

此外,组织可以 阻止或卸载 微软建议,如果他们不使用快速协助和其他远程管理工具,这将有助于降低他们遭受此类社会工程攻击的风险。

此外,还有一整套妥协指标和威胁搜寻查询,Microsoft 客户可以使用它们来查找其网络上的恶意活动,例如可疑的卷曲行为或可能恶意使用代理或隧道工具。

入侵始于 Storm-1811 通过语音网络钓鱼冒充 IT 支持人员,并说服用户通过 Quick Assist 授予他们访问计算机的权限。 在某些情况下,用户会受到垃圾邮件的轰炸,然后会被联系询问他们是否需要帮助解决问题。

通过键盘命令和攻击者提供的安全代码来授予访问权限。 目标输入安全代码后,他们可以与攻击者共享屏幕,攻击者可以选择“请求控制”。 如果目标批准此请求,欺诈者现在就可以完全控制该设备。

据我们所知,在这次攻击 Storm-1811 开始工作后,它开始提供恶意负载和远程监控和管理 (RMM) 软件。

威胁情报团队指出:“在一些情况下,微软威胁情报发现此类活动会导致 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike 的下载。”

这种对受感染设备的持续访问允许攻击者在受害者的环境中横向移动。 微软表示:“Storm-1811 然后使用 PsExec 在整个网络中部署 Black Basta 勒索软件。” ®

1715904898
2024-05-16 23:30:00
#犯罪分子滥用 #Microsoft #Quick #Assist #部署 #Black #Basta #勒索软件 #Register

Leave a Reply

Your email address will not be published. Required fields are marked *

近期新闻​

编辑精选​