Tính năng Quick Assist của Microsoft bị lạm dụng trong các cuộc tấn công ransomware

“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ransomware Black Basta”, Microsoft cho biết trong một báo cáo công bố vào ngày 15/5/2024.

Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai phần mềm độc hại QakBot, Cobalt Strike và ransomware Black Basta.

“Những kẻ đe dọa lạm dụng tính năng Quick Assist (Hỗ trợ nhanh) để thực hiện các cuộc tấn công social engineering bằng cách giả mạo, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia Công nghệ thông tin từ công ty của người dùng bị nhắm mục tiêu để giành quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.

Quick Assist là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.

Để tăng tỉ lệ nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email bị nhắm mục tiêu được sử dụng để đăng ký cho nhiều dịch vụ hợp pháp khác nhau để làm ngập hộp thư đến của nạn nhân với các nội dung đã đăng ký.

Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi điện thoại tới người dùng mục tiêu để đề nghị hỗ trợ khắc phục vấn đề thư rác và cố thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua tính năng Quick Assist.

Microsoft cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai phần mềm độc hại”.

"Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Sau đó, Storm-1811 sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân."

Microsoft đang điều tra kỹ hơn về việc sử dụng sai mục đích Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra.

Rapid7 cho biết, chiến dịch này, được cho là bắt đầu từ giữa tháng 4 năm nay, nhắm mục tiêu vào nhiều ngành công nghiệp và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính cơ hội của các cuộc tấn công.

Robert Knapp - Giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân khiến ransomware tiếp tục trở thành một phương tiện phổ biến mà các tác nhân đe dọa lạm dụng cho mục đích thu lợi”.

Microsoft cho biết thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi có được quyền truy cập từ QakBot và các bên phân phối mã độc khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này.”

Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo có thể xảy ra để giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.