Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых
NewsMakerАтакуя всех подряд, злоумышленники используют проверенный способ проникновения на компьютер.
Команда Microsoft Threat Intelligence обнаружила новую кампанию группы Storm-1811, в ходе которой используется инструмент Quick Assist для проведения атак социальной инженерии на пользователей.
Quick Assist – легитимное приложение Microsoft, позволяющее пользователю подключаться к другому устройству через удаленное соединение для решения технических проблем. Приложение установлено по умолчанию на устройствах с Windows 11.
Злоумышленник использует Quick Assist для выполнения атак социальной инженерии, притворяясь доверенным контактом, чтобы получить первоначальный доступ к устройству жертвы. Чтобы сделать атаки более убедительными, хакер использует метод link listing , подписывая электронные адреса жертвы на рассылки, чтобы завалить её почтовый ящик спамом.
Затем киберпреступник звонит жертве, представляясь сотрудником техподдержки и предлагая помощь в решении проблемы со спамом. Подключение к устройству происходит через Quick Assist. Когда пользователь разрешает доступ, злоумышленник выполняет команду curl для скачивания и выполнения вредоносных файлов. Полученный доступ используется для перечисления доменов и бокового перемещения по сети, после чего применяется PsExec для распространения программы-вымогателя Black Basta.
Кампания, начавшаяся в середине апреля, нацелена на различные отрасли, включая производство, строительство, пищевую промышленность и транспорт, что свидетельствует об оппортунистической природе атак.
Организациям рекомендуется блокировать или удалять Quick Assist и аналогичные инструменты, если они не используются, и обучать сотрудников распознавать подобные мошенничества.
Storm-1811 – финансово мотивированная группировка, известная использованием программ-вымогателей Black Basta. Схема атаки начинается с имитации телефонных звонков, во время которых злоумышленники, представляясь техподдержкой Microsoft или IT-специалистами компании жертвы, убеждают установить инструменты для удаленного мониторинга и управления. Затем на устройство доставляются QakBot, Cobalt Strike и, в конечном итоге, Black Basta.
Команда Microsoft Threat Intelligence обнаружила новую кампанию группы Storm-1811, в ходе которой используется инструмент Quick Assist для проведения атак социальной инженерии на пользователей.
Quick Assist – легитимное приложение Microsoft, позволяющее пользователю подключаться к другому устройству через удаленное соединение для решения технических проблем. Приложение установлено по умолчанию на устройствах с Windows 11.
Злоумышленник использует Quick Assist для выполнения атак социальной инженерии, притворяясь доверенным контактом, чтобы получить первоначальный доступ к устройству жертвы. Чтобы сделать атаки более убедительными, хакер использует метод link listing , подписывая электронные адреса жертвы на рассылки, чтобы завалить её почтовый ящик спамом.
Затем киберпреступник звонит жертве, представляясь сотрудником техподдержки и предлагая помощь в решении проблемы со спамом. Подключение к устройству происходит через Quick Assist. Когда пользователь разрешает доступ, злоумышленник выполняет команду curl для скачивания и выполнения вредоносных файлов. Полученный доступ используется для перечисления доменов и бокового перемещения по сети, после чего применяется PsExec для распространения программы-вымогателя Black Basta.
Кампания, начавшаяся в середине апреля, нацелена на различные отрасли, включая производство, строительство, пищевую промышленность и транспорт, что свидетельствует об оппортунистической природе атак.
Организациям рекомендуется блокировать или удалять Quick Assist и аналогичные инструменты, если они не используются, и обучать сотрудников распознавать подобные мошенничества.
Storm-1811 – финансово мотивированная группировка, известная использованием программ-вымогателей Black Basta. Схема атаки начинается с имитации телефонных звонков, во время которых злоумышленники, представляясь техподдержкой Microsoft или IT-специалистами компании жертвы, убеждают установить инструменты для удаленного мониторинга и управления. Затем на устройство доставляются QakBot, Cobalt Strike и, в конечном итоге, Black Basta.