Tội phạm mạng khai thác tính năng Quick Assist của Microsoft trong các cuộc tấn công ransomware

16:00 | 03/06/2024 | HACKER / MALWARE

Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.

Tội phạm mạng khai thác tính năng Quick Assist của Microsoft trong các cuộc tấn công ransomware

“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ”, Microsoft cho biết trong một báo cáo công bố vào ngày 15/5/2024.

Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai phần mềm độc hại QakBot, Cobalt Strike và ransomware Black Basta.

“Những kẻ đe dọa lạm dụng tính năng Quick Assist để thực hiện các cuộc tấn công social engineering bằng cách giả mạo, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia Công nghệ thông tin từ công ty của người dùng bị nhắm mục tiêu để giành quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.

Quick Assist là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.

Để tăng tỉ lệ nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email bị nhắm mục tiêu được sử dụng để đăng ký cho nhiều dịch vụ hợp pháp khác nhau để làm ngập hộp thư đến của nạn nhân với các nội dung đã đăng ký.

Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi điện thoại tới người dùng mục tiêu để đề nghị hỗ trợ khắc phục vấn đề thư rác và cố thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua tính năng Quick Assist.

cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai ”.

"Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Sau đó, Storm-1811 sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân".

Microsoft đang điều tra kỹ hơn về việc sử dụng sai mục đích Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra.

Rapid7 cho biết, chiến dịch này, được cho là bắt đầu từ giữa tháng 4 năm nay, nhắm mục tiêu vào nhiều ngành công nghiệp và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính cơ hội của các cuộc tấn công.

Robert Knapp, giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân khiến ransomware tiếp tục trở thành một phương tiện phổ biến mà các tác nhân đe dọa lạm dụng cho mục đích thu lợi”.

Microsoft cho biết thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi có được quyền truy cập từ QakBot và các bên phân phối mã độc khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này.”

Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo có thể xảy ra để giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.

Bá Phúc

‹ › ×

Tin liên quan

Đối phó với những cuộc tấn công ransomeware: Những người ra quyết định có những lựa chọn nào?

13:00 | 19/05/2021

Những người ra quyết định về công nghệ thông tin (CNTT) thường thấy mình bị mắc kẹt giữa những quyết định khó khăn khi phải đối phó với các cuộc tấn công ransomeware. Họ có thể trả một số tiền lớn cho tội phạm mạng với hi vọng lấy lại quyền truy cập vào hệ thống và dữ liệu nhưng lại có thể đưa doanh nghiệp rơi vào tình thế nguy hiểm về tài chính. Hay họ hi vọng rằng bản sao lưu của họ đủ tốt và tin tặc sẽ không làm rỏ rỉ thông tin trực tuyến. Một số thì lại đang tìm kiếm phương thức khác là đàm phán với tin tặc.

Thế giới mất gần nửa tỷ USD vào tay tội phạm mạng chỉ trong 6 tháng đầu năm 2024

08:00 | 26/08/2024

Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.

Gần 600 máy chủ có liên quan đến Cobalt Strike đã bị đánh sập

17:00 | 12/07/2024

Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Cảnh giác với mã độc tống tiền trên điện thoại di động tại Việt Nam

10:00 | 14/08/2024

Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.

Nghiên cứu khai thác lỗ hổng trong cơ chế mã hóa ransomware Rhysida

13:00 | 30/07/2024

Ransomware là một loại phần mềm độc hại được thiết kế để tấn công máy tính hoặc hệ thống mạng bằng cách mã hóa dữ liệu quan trọng của người dùng và yêu cầu một khoản tiền chuộc để cung cấp khóa giải mã. Các cuộc tấn công bằng ransomware ngày càng tinh vi và có khả năng gia tăng trong thời gian tới với một trong những lo ngại từ ransomware Rhysida. Nghiên cứu cơ chế mã hóa của Rhysida là giải pháp hiệu quả để hạn chế nguy cơ từ loại ransomware này. Các nhà nghiên cứu tại Cơ quan An ninh và Internet Hàn Quốc (KISA) đã tìm thấy lỗ hổng trong cơ chế mã hóa của ransomware Rhysida, cho phép đảo ngược quá trình mã hóa dữ liệu.

Mi2 - Trellix xây dựng nền tảng phòng vệ hiệu quả chống APT và Ransomware

09:00 | 03/07/2024

Sáng 27/6, tại Thành phố Hồ Chí Minh, sự kiện Cybersecurity Summit 2024 đã diễn ra thành công với sự tham gia đông đảo của hơn 250 chuyên gia an ninh mạng, lãnh đạo doanh nghiệp và tổ chức. Trong đó, Mi2 JSC vinh dự trở thành Nhà tài trợ Vàng, đồng hành cùng Trellix - hãng bảo mật hàng đầu thế giới mang đến giải pháp bảo mật tiên tiến và hiệu quả cho các doanh nghiệp Việt Nam chống lại APT và mã độc tống tiền đang lan rộng hiện nay.

Bộ giải mã mới có khả năng khôi phục tệp tin bị mã hóa bởi mã độc tống tiền Black Basta

07:00 | 15/01/2024

Các nhà nghiên cứu đến từ Phòng thí nghiệm bảo mật SRLabs (Đức) tạo ra một bộ giải mã có khả năng khôi phục miễn phí tệp tin cho các nạn nhân của mã độc tống tiền Black Basta.

Tin cùng chuyên mục

Phần mềm độc hại DarkGate quay trở lại

17:00 | 19/07/2024

Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.

Tin tặc mạo danh Apple để đánh cắp thông tin đăng nhập

08:00 | 12/07/2024

Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.