“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ransomware Black Basta”, Microsoft cho biết trong một báo cáo công bố vào ngày 15/5/2024.
Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai phần mềm độc hại QakBot, Cobalt Strike và ransomware Black Basta.
“Những kẻ đe dọa lạm dụng tính năng Quick Assist để thực hiện các cuộc tấn công social engineering bằng cách giả mạo, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia Công nghệ thông tin từ công ty của người dùng bị nhắm mục tiêu để giành quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.
Quick Assist là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.
Để tăng tỉ lệ nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email bị nhắm mục tiêu được sử dụng để đăng ký cho nhiều dịch vụ hợp pháp khác nhau để làm ngập hộp thư đến của nạn nhân với các nội dung đã đăng ký.
Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi điện thoại tới người dùng mục tiêu để đề nghị hỗ trợ khắc phục vấn đề thư rác và cố thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua tính năng Quick Assist.
Microsoft cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai phần mềm độc hại”.
"Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Sau đó, Storm-1811 sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân".
Microsoft đang điều tra kỹ hơn về việc sử dụng sai mục đích Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra.
Rapid7 cho biết, chiến dịch này, được cho là bắt đầu từ giữa tháng 4 năm nay, nhắm mục tiêu vào nhiều ngành công nghiệp và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính cơ hội của các cuộc tấn công.
Robert Knapp, giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân khiến ransomware tiếp tục trở thành một phương tiện phổ biến mà các tác nhân đe dọa lạm dụng cho mục đích thu lợi”.
Microsoft cho biết thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi có được quyền truy cập từ QakBot và các bên phân phối mã độc khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này.”
Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo có thể xảy ra để giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.
Bá Phúc
08:00 | 26/08/2024
13:00 | 19/05/2021
17:00 | 12/07/2024
10:00 | 28/03/2024
13:00 | 30/07/2024
07:00 | 15/01/2024
10:00 | 14/08/2024
09:00 | 03/07/2024
13:00 | 07/10/2024
Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024