結合微軟「快速助理」工具與社交工程,Black Basta 駭客已勒索 500 多家組織

作者 | 發布日期 2024 年 05 月 21 日 8:10 | 分類 Microsoft , 網路 , 資訊安全 line share follow us in feedly line share
結合微軟「快速助理」工具與社交工程,Black Basta 駭客已勒索 500 多家組織


源自於 Conti 網路犯罪集團的 Black Basta,最早是在 2022 年 4 月以勒索軟體即服務(RaaS)的營運模式首次出現在網路上。如今該惡意軟體駭客開始將攻擊目標放在微軟 Windows 快速助理(Quick Assist)功能,並透過社交工程在受害者的網路上部署Black Basta勒索軟體。 

Black Basta 從一開始就在網路上四處興風作浪,包括德國國防承包商 Rheinmetall、英國技術外包公司 Capita、現代汽車歐洲分公司、工業自動化大廠 ABB,以及美國醫療巨頭 Ascension 都曾受到攻擊。

美國網路安全和基礎設施安全局(CISA)與聯邦調查局(FBI)在上週的聯合公告中指出,該勒索團體在 2022 年 4 月至 2024 年 5 月間已經入侵超過 500 個組織,對至少 16 個關鍵基礎設施部門中的 12 個進行資料加密和竊取攻擊。根據網路安全公司 Elliptic 和網路保險公司 Corvus Insurance 的研究,截止 2023 年 11 月為止,Black Basta 已從超過 90 名受害者身上獲得至少 1 億美元的贖金。

冒充微軟人員誘騙使用者啟動 Quick Assist,下載惡意工具並部署 Black Basta

根據微軟自 2024 年 4 月中旬以來的調查發現,在背後主導一切的 Storm-1811 威脅組織會先用受害者的郵件地址訂閱各種電子郵件服務後,然後再對目標發動郵件轟炸攻擊。當郵箱充滿垃圾郵件後,威脅者會致電受害者,並冒充微軟技術支援人員或被攻擊公司的  IT  或客服人員,來幫助解決垃圾郵件問題。

接下來,攻擊者會誘騙受害者啟動 Windows 系統內建的遠端控制和螢幕共享工具 Quick Assist,進而授予他們對 Windows 裝置的存取權限。微軟表示,一旦使用者允許存取和控制,威脅者便會執行預設的 cURL 命令,下載一系列用於傳送惡意封包負載的批次檔或 ZIP 壓縮檔。

微軟威脅情報部門(Microsoft Threat Intelligence)在多個案例中發現,這種惡意活動會導致下載 Qakbot 殭屍程式、Cobalt Strike 滲透測試工具,以及 ScreenConnect 和 NetSupport Manager 等遠端監控管理工具(RMM)。

在安裝惡意工具並結束通話後,Storm-1811 會進行網域列舉,在受害者的網路中橫向移動,並使用 Windows PsExec telnet 替代工具部署 Black Basta 勒索軟體。

駭客專蒐使用者憑證,沒需要就應封鎖或卸載 Quick Assist

根據網路安全公司 Rapid7 的發現,惡意行為者會使用批次腳本,透過 PowerShell 從命令列獲取受害者的憑證。駭客會透過社交工程製造出一個專門誘騙使用者必須登入才能完成更新的虛假狀況,來蒐集使用者的憑證,並透過安全複製(SCP)命令傳送到駭客主控的伺服器。不僅如此,許多憑證會被集結存成一個歸檔檔案,必須手動進行檢索。

為了阻止這樣的社交工程攻擊,微軟建議網路防禦者如果沒有需要就應該封鎖或卸載 Quick Assist 和類似的遠端監控管理工具,並訓練員工識別網上各種支援詐騙的攻擊手法。被攻擊的人應該只有在聯繫了 IT 支援人員或 微軟支援服務(Microsoft Support)後,才能允許其他人連接到他們的裝置,如果懷疑有惡意意圖,就應立即中斷任何 Quick Assist 連線。

(首圖來源:shutterstock)