Missbrauchtes Windows Quick Assist-Tool könnte Angreifern von Black Basta Ransomware helfen

Die Nutzung von Fernzugriffstools stellt für Unternehmen eine doppelte Herausforderung dar, insbesondere wenn sie von Bedrohungsakteuren ausgenutzt werden, die sich mit ausgefeilten Social-Engineering-Taktiken auskennen. Kürzlich wies Microsoft Threat Intelligence auf die Entstehung einer Phishing-Kampagne mit der Black Basta Ransomware hin, die von einer finanziell motivierten Gruppe namens Storm-1811 orchestriert wurde. Diese Gruppe verwendet einen Social-Engineering-Ansatz und gibt sich als vertrauenswürdige Einheiten wie der Microsoft-Support oder internes IT-Personal aus, um Opfer dazu zu bringen, Fernzugriff über Quick Assist zu gewähren, eine Windows-Anwendung, die Fernverbindungen ermöglicht.

Sobald Vertrauen hergestellt und Zugriff gewährt wurde, setzt Storm-1811 verschiedene Schadsoftware ein, was letztlich zur Verbreitung der Black Basta-Ransomware führt. Diese Methode unterstreicht, wie leicht legitime Remote-Access-Tools von Bedrohungsakteuren mit versierten Social-Engineering-Fähigkeiten manipuliert werden können, wobei herkömmliche Sicherheitsmaßnahmen umgangen werden. Diese fortschrittlichen Social-Engineering-Taktiken erfordern eine proaktive Reaktion der Sicherheitsteams von Unternehmen, die erhöhte Wachsamkeit und umfassende Schulungen der Mitarbeiter erfordert.

Die Vorgehensweise von Storm-1811 besteht aus einer Kombination aus Vishing, E-Mail-Bombardierung und der Nachahmung von IT-Mitarbeitern, um Benutzer zu täuschen und zu kompromittieren. Die Angreifer überfluten die Opfer mit E-Mails, bevor sie Vishing-Anrufe initiieren. Die daraus resultierende Verwirrung nutzen sie aus, um die Opfer dazu zu zwingen, bösartige Quick Assist-Anfragen zu akzeptieren. Dieses orchestrierte Bombardement dient der Verwirrtheit der Opfer und ebnet den Weg für eine erfolgreiche Manipulation und anschließende Verbreitung von Malware.

Microsofts Beobachtungen zeigen, dass Storm-1811 verschiedene Schadsoftware verwendet, darunter Qakbot und Cobalt Strike, die über Remote-Überwachungstools wie ScreenConnect und NetSupport Manager bereitgestellt werden. Sobald der Zugriff hergestellt ist, verwenden die Angreifer Skriptbefehle, um schädliche Payloads herunterzuladen und auszuführen, wodurch sie ihre Kontrolle über kompromittierte Systeme aufrechterhalten. Darüber hinaus nutzt Storm-1811 Tools wie OpenSSH-Tunneling und PsExec, um seine Persistenz aufrechtzuerhalten und die Black Basta-Ransomware in Netzwerken zu verbreiten .

Um solche Angriffe abzuschwächen, wird Unternehmen empfohlen, Remote-Access-Tools zu deinstallieren, wenn sie nicht verwendet werden, und Privileged Access Management-Lösungen mit einer Zero-Trust-Architektur zu implementieren. Regelmäßige Mitarbeiterschulungen sind von größter Bedeutung, um das Bewusstsein für Social-Engineering-Taktiken und Phishing-Betrug zu schärfen und die Mitarbeiter in die Lage zu versetzen, potenzielle Bedrohungen zu erkennen und abzuwehren. Fortschrittliche E-Mail-Lösungen und Ereignisüberwachung stärken die Abwehr zusätzlich und ermöglichen eine schnelle Erkennung und Eindämmung böswilliger Aktivitäten.

Die Ausnutzung von Remote-Access-Tools durch ausgeklügeltes Social Engineering unterstreicht die sich entwickelnde Landschaft der Cyberbedrohungen. Um diese Herausforderungen zu bewältigen, ist ein vielschichtiger Ansatz erforderlich, der technologische Abwehrmaßnahmen, Schulung der Mitarbeiter und proaktive Sicherheitsmaßnahmen zum Schutz vor böswilliger Ausnutzung umfasst.