Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых

Microsoft Threat Intelligence Storm-1811 Quick Assist link listing Black Basta
Quick Assist стал оружием вымогателей: Storm-1811 атакует самых доверчивых
Microsoft Threat Intelligence Storm-1811 Quick Assist link listing Black Basta

Атакуя всех подряд, злоумышленники используют проверенный способ проникновения на компьютер.

image

Команда Microsoft Threat Intelligence обнаружила новую кампанию группы Storm-1811, в ходе которой используется инструмент Quick Assist для проведения атак социальной инженерии на пользователей.

Quick Assist – легитимное приложение Microsoft, позволяющее пользователю подключаться к другому устройству через удаленное соединение для решения технических проблем. Приложение установлено по умолчанию на устройствах с Windows 11.

Злоумышленник использует Quick Assist для выполнения атак социальной инженерии, притворяясь доверенным контактом, чтобы получить первоначальный доступ к устройству жертвы. Чтобы сделать атаки более убедительными, хакер использует метод link listing, подписывая электронные адреса жертвы на рассылки, чтобы завалить её почтовый ящик спамом.

Затем киберпреступник звонит жертве, представляясь сотрудником техподдержки и предлагая помощь в решении проблемы со спамом. Подключение к устройству происходит через Quick Assist. Когда пользователь разрешает доступ, злоумышленник выполняет команду curl для скачивания и выполнения вредоносных файлов. Полученный доступ используется для перечисления доменов и бокового перемещения по сети, после чего применяется PsExec для распространения программы-вымогателя Black Basta.

Кампания, начавшаяся в середине апреля, нацелена на различные отрасли, включая производство, строительство, пищевую промышленность и транспорт, что свидетельствует об оппортунистической природе атак.

Организациям рекомендуется блокировать или удалять Quick Assist и аналогичные инструменты, если они не используются, и обучать сотрудников распознавать подобные мошенничества.

Storm-1811 – финансово мотивированная группировка, известная использованием программ-вымогателей Black Basta. Схема атаки начинается с имитации телефонных звонков, во время которых злоумышленники, представляясь техподдержкой Microsoft или IT-специалистами компании жертвы, убеждают установить инструменты для удаленного мониторинга и управления. Затем на устройство доставляются QakBot, Cobalt Strike и, в конечном итоге, Black Basta.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

От спама до взлома: хакеры предлагают помощь в борьбе с навязчивыми рассылками

Black Basta Buster: дешифратор, который поможет жертвам вымогательского ПО

Water Curupira использует вредонос PikaBot для развёртывания вымогательского ПО

Гигабайты в заложниках: вымогатели Black Basta ударяют по водоснабжению Англии

Снижение цены и доверия инвесторов: как кибератака повлияла на бизнес Capita

Сотни тысяч клиентов Southern Water лишились приватности во время январской кибератаки

500 компаний и $100 млн: Conti показала свою продуктивность в новом обличии

Паспорта, договоры, тайны: что еще потерял крупнейший поставщик авиадвигателей после кибератаки?

Black Basta и Bl00dy в деле: фронт атак на ScreenConnect продолжает расширяться