威胁行为者正在滥用 Windows 中的 Quick Assist 客户端管理工具，并结合社会工程技巧，在受害者的系统上植入恶意软件和勒索软件。

在5 月 15 日的通报中，微软警告各组织警惕语音网络钓鱼 (vishing)骗局，网络犯罪分子会诱骗受害者打开 Quick Assist 会话。

自 4 月中旬以来，该供应商的威胁情报部门一直在监控一个名为 Storm-1811 的恶意行为者。该团伙使用远程监控和管理 (RMM) 工具来安装恶意软件，包括Qakbot、Cobalt Strike 以及最终的Black Basta 勒索软件。

该骗局通常始于 Storm-1811 对受害者发起 电子邮件轰炸攻击，通过使用其凭据间接注册订阅服务，使受害者的收件箱充满电子邮件。

然后，威胁行为者假装是技术支持人员给受害者打电话，并提出通过 Quick Assist 来解决他们的电子邮件过载问题，该工具默认安装在运行 Windows 11 的设备上。

微软的通报称：“一旦用户允许访问和控制，威胁行为者就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。”

“在一些情况下，微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。”

安装初始工具并结束与受害者的电话通话后，Storm-1811 攻击者执行了进一步的“键盘操作”活动，包括域枚举和横向移动，然后使用 PsExec 在整个受感染网络中部署 Black Basta。

该咨询称：“自 Black Basta于 2022 年 4 月首次出现以来，Black Basta 攻击者在收到 Qakbot 和其他恶意软件分发者的访问权限后就部署了勒索软件，这凸显了组织需要在部署勒索软件之前关注攻击阶段，以减少威胁。” 。

“微软正在调查 Quick Assist 在这些攻击中的使用情况，并致力于提高帮助者和共享者之间的透明度和信任，并在 Quick Assist 中加入警告消息，以提醒用户可能存在技术支持诈骗。”

在上周的一篇文章中，Rapid7 的研究人员报告说，他们观察到同样的骗局被用来针对该网络安全公司的几位客户。

Rapid7 观察到的威胁行为者除了滥用 Quick Assist 之外，还尝试使用其他流行的 RMM 工具，包括 AnyDesk。

“虽然在 Rapid7 响应的任何案例中都没有观察到勒索软件的部署，但我们观察到的妥协指标之前与基于 OSINT（开源情报）和 Rapid7 处理的其他事件响应活动的 Black Basta 勒索软件运营商有关，”研究人员说。

微软表示，为了防止攻击，组织应考虑阻止或卸载 IT 部门未使用的 Quick Assist 和其他 RMM 工具。

它还建议培训员工警惕技术支持诈骗。

“仅当您通过直接联系 Microsoft 支持或您的 IT 支持人员发起交互时，才允许帮助者使用 Quick Assist 连接到您的设备。不要向任何声称迫切需要访问您的设备的人提供访问权限，”该建议称。

Rapid7 的进一步建议包括阻止与所有未经批准的 RMM 解决方案相关的域，并确保员工有权报告来自内部 IT 员工的可疑电话和短信。

文章原文链接:https://www.anquanke.com/post/id/296580