Windows Quick Assist 在 Black Basta 勒索软件攻击中被滥用

网络犯罪分子在社会工程攻击中滥用 Windows Quick Assist 功能，在受害者的网络上部署 Black Basta 勒索软件负载。

微软至少从 2024 年 4 月中旬开始就一直在调查这一活动，他们观察到，威胁组织（追踪为 Storm-1811）在将其地址订阅到各种电子邮件订阅服务后，通过电子邮件轰炸目标开始了攻击。

一旦他们的邮箱充斥着未经请求的消息，威胁分子就会冒充 Microsoft 技术支持人员或受攻击公司的 IT 或服务台工作人员给他们打电话，以帮助修复垃圾邮件问题。

在这次语音网络钓鱼攻击中，攻击者通过启动 Quick Assist 内置远程控制和屏幕共享工具，诱骗受害者授予其 Windows 设备访问权限。

微软表示：" 一旦用户允许访问和控制，威胁分子就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。" 在一些情况下，微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。

安装恶意工具并结束通话后，Storm-1811 会执行域枚举，在受害者网络中横向移动，并使用 Windows PsExec telnet 替换工具部署 Black Basta 勒索软件。

Quick Assist 屏幕共享提示

网络安全公司 Rapid7 也发现了这些攻击，该公司表示，恶意分子将使用 " 批处理脚本，使用 PowerShell 从命令行获取受害者的凭据 "。" 凭据是在要求用户登录的‘更新’的虚假上下文下收集的。在大多数观察到的批处理脚本变体中，凭据会通过安全复制命令  ( SCP )  立即泄露到威胁行为者的服务器。

为了阻止这些攻击，微软建议网络防御者阻止或卸载不使用的 Quick Assist 和类似的远程监控和管理工具，并培训员工识别技术支持诈骗。

这些攻击的目标仅应允许其他人在联系其 IT 支持人员或 Microsoft 支持人员的情况下连接到其设备，并在怀疑存在恶意意图时立即断开任何快速协助会话。

Black Basta 勒索软件操作

两年前，Conti 网络犯罪组织因一系列数据泄露事件而被关闭，此后分裂成多个派系，其中一个就是 Black Basta。

Black Basta 于 2022 年 4 月以勒索软件即服务  ( RaaS )  形式浮出水面。此后，其附属公司已经入侵了许多知名受害者，包括德国国防承包商莱茵金属、英国技术外包公司 Capita、现代汽车的欧洲分部、多伦多公共图书馆、美国牙科协会、工业自动化公司和政府承包商 ABB、Sobeys、Knauf 和加拿大黄页。

最近，Black Basta 与美国医疗保健巨头 Ascension 遭受的勒索软件攻击有关，迫使其将救护车转移到未受影响的设施。

正如 CISA 和 FBI 在联合咨询中透露的那样，Black Basta 勒索软件附属机构在 2022 年 4 月至 2024 年 5 月期间侵入了 500 多个组织，加密并窃取了 16 个关键基础设施部门中至少 12 个部门的数据。

Health-ISAC（信息共享和分析中心）也在公告中称，勒索软件团伙 " 最近加速了针对医疗保健行业的攻击 "。

根据网络安全公司 Elliptic 和网络保险公司 Corvus Insurance 的研究显示，截至 2023 年 11 月，Black Basta 已从 90 多名受害者那里收取了至少 1 亿美元的赎金。