Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых

Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых

Атакуя всех подряд, злоумышленники используют проверенный способ проникновения на компьютер.

image

Команда Microsoft Threat Intelligence обнаружила новую кампанию группы Storm-1811, в ходе которой используется инструмент Quick Assist для проведения атак социальной инженерии на пользователей.

Quick Assist – легитимное приложение Microsoft, позволяющее пользователю подключаться к другому устройству через удаленное соединение для решения технических проблем. Приложение установлено по умолчанию на устройствах с Windows 11.

Злоумышленник использует Quick Assist для выполнения атак социальной инженерии, притворяясь доверенным контактом, чтобы получить первоначальный доступ к устройству жертвы. Чтобы сделать атаки более убедительными, хакер использует метод link listing, подписывая электронные адреса жертвы на рассылки, чтобы завалить её почтовый ящик спамом.

Затем киберпреступник звонит жертве, представляясь сотрудником техподдержки и предлагая помощь в решении проблемы со спамом. Подключение к устройству происходит через Quick Assist. Когда пользователь разрешает доступ, злоумышленник выполняет команду curl для скачивания и выполнения вредоносных файлов. Полученный доступ используется для перечисления доменов и бокового перемещения по сети, после чего применяется PsExec для распространения программы-вымогателя Black Basta.

Кампания, начавшаяся в середине апреля, нацелена на различные отрасли, включая производство, строительство, пищевую промышленность и транспорт, что свидетельствует об оппортунистической природе атак.

Организациям рекомендуется блокировать или удалять Quick Assist и аналогичные инструменты, если они не используются, и обучать сотрудников распознавать подобные мошенничества.

Storm-1811 – финансово мотивированная группировка, известная использованием программ-вымогателей Black Basta. Схема атаки начинается с имитации телефонных звонков, во время которых злоумышленники, представляясь техподдержкой Microsoft или IT-специалистами компании жертвы, убеждают установить инструменты для удаленного мониторинга и управления. Затем на устройство доставляются QakBot, Cobalt Strike и, в конечном итоге, Black Basta.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь