Tính năng Quick Assist của Microsoft bị lạm dụng trong các cuộc tấn công ransomware

0
0

- Nhóm Tình báo mối đe dọa của Microsoft cho biết đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội (social engineering).

“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ransomware Black Basta”, Microsoft cho biết trong một báo cáo công bố vào ngày 15/5/2024.

Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai phần mềm độc hại QakBot, Cobalt Strike và ransomware Black Basta.

“Những kẻ đe dọa lạm dụng tính năng Quick Assist (Hỗ trợ nhanh) để thực hiện các cuộc tấn công social engineering bằng cách giả mạo, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia Công nghệ thông tin từ công ty của người dùng bị nhắm mục tiêu để giành quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.

 

Quick Assist là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.

Để tăng tỉ lệ nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email bị nhắm mục tiêu được sử dụng để đăng ký cho nhiều dịch vụ hợp pháp khác nhau để làm ngập hộp thư đến của nạn nhân với các nội dung đã đăng ký.

Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi điện thoại tới người dùng mục tiêu để đề nghị hỗ trợ khắc phục vấn đề thư rác và cố thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua tính năng Quick Assist.

Microsoft cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai phần mềm độc hại”.

"Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Sau đó, Storm-1811 sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân."

Microsoft đang điều tra kỹ hơn về việc sử dụng sai mục đích Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra.

Rapid7 cho biết, chiến dịch này, được cho là bắt đầu từ giữa tháng 4 năm nay, nhắm mục tiêu vào nhiều ngành công nghiệp và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính cơ hội của các cuộc tấn công.

Robert Knapp - Giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân khiến ransomware tiếp tục trở thành một phương tiện phổ biến mà các tác nhân đe dọa lạm dụng cho mục đích thu lợi”.

Microsoft cho biết thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi có được quyền truy cập từ QakBot và các bên phân phối mã độc khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này.”

Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo có thể xảy ra để giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.

PV (thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.