联系我们
请随时询问有关我们的一切!
在线咨询
工作时间:
周一至周五,08:00-17:00,
节假日休息

网络犯罪团伙滥用 Microsoft Quick Assist 部署 Black Basta 勒索软件攻击

作者:Admin

分享文章

作者:Admin

分享文章

近日,多家网络安全机构发现,一个名为 Storm-1811 的网络犯罪团伙正在滥用 Microsoft 的 Quick Assist 应用程序,通过社会工程攻击部署 Black Basta 勒索软件。这一恶意活动自 4 月中旬以来持续进行,对多家企业和个人用户造成了严重威胁。

攻击方式揭秘

Storm-1811 团伙主要通过语音网络钓鱼(Vishing)和垃圾邮件轰炸引诱目标用户上当。他们会冒充 IT 支持人员,打电话给受害者声称可以帮助解决用户电脑问题,然后引导受害者通过 Quick Assist 授予他们远程访问权限。具体操作上,攻击者要求受害者按下快捷键 CTRL+Windows+Q,启动 Quick Assist 并输入安全验证码。一旦获得访问权限,攻击者便可以完全控制受害者的电脑!

在成功获得控制权后,攻击者会通过键盘命令下载和安装远程管理工具(如 ScreenConnect 和 NetSupport Manager)以及恶意软件(如 QBot 和 Cobalt Strike)。这些工具和软件允许攻击者在受害者的网络环境中横向移动,进一步扩展攻击范围。

实际案例

  1. 一家金融服务公司:一家使用威胁检测与应变代管服务的金融服务公司曾经遭到网络攻击。攻击者通过垃圾邮件轰炸和电话钓鱼获取了管理员的远程访问权限,随后部署了 Black Basta 勒索软件,加密了公司的关键财务数据。尽管公司立即采取措施恢复数据,但仍然造成了 数百万美元 的损失。
  2. 一家医疗机构:一所医疗机构的 IT 部门接到了一通自称是技术支持的电话,要求通过 Quick Assist 解决系统故障。由于 IT 部门误信了来电,导致攻击者获得了对整个医疗系统的控制权,并最终加密了患者记录和医疗数据。这次攻击不仅导致医疗机构蒙受了 数百万美元 的经济损失,还严重影响了患者的治疗进程。

微软的应对措施

根据报道,微软已经意识到 Quick Assist 被滥用的风险,并表示正在调查此类攻击。他们计划通过增加警告消息和提高用户之间的透明度和信任度来增强 Quick Assist 的安全性。微软建议用户和组织如果不使用 Quick Assist 和其他远程管理工具,应及时将其阻止或卸载,以降低被攻击的风险。

此外,微软还提供了一整套妥协指标和威胁搜寻查询,帮助客户查找网络中的恶意活动。例如,企业可以监控可疑的 cURL 行为或可能恶意使用的代理和隧道工具,及时发现并阻止攻击。

防范建议

为了防范类似的社会工程攻击,网络安全专家建议用户和组织应加强员工的安全意识培训,警惕陌生来电和未经验证的技术支持请求。同时,应定期审查和更新安全策略,确保所有远程管理工具的使用受到严格控制。

此次 Storm-1811 团伙利用 Quick Assist 进行的攻击,再次提醒我们,网络安全不仅需要技术手段的保障,更需要全员的警惕和合作。企业和个人用户应共同努力,构建更安全的网络环境。

新闻来源:Bleeping Computer | IThome | Mandarinian

目录

什么是DDoS攻击,为什么电子商务网站容易受攻击?
虚拟专用网络(VPN):保护您的在线隐私和安全
超级增强电子商务成功:释放CDN的力量,实现无缝在线购物
释放CDN的视频流媒体力量

加入我们的通讯录
保持最新资讯

Loading

点击按钮,您同意遵守Goooood®狗弟的使用条款和隐私政策。

滚动至顶部