“Storm-1811 là một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai ”, Microsoft cho biết trong một báo cáo công bố vào ngày 15/5/2024.
Chuỗi tấn công liên quan đến việc mạo danh thông qua lừa đảo bằng giọng nói để lừa nạn nhân cài đặt các công cụ hỗ trợ truy cập từ xa (RMM), sau đó triển khai phần mềm độc hại QakBot, Cobalt Strike và ransomware Black Basta.
“Những kẻ đe dọa lạm dụng tính năng Quick Assist để thực hiện các cuộc tấn công social engineering bằng cách giả mạo, chẳng hạn như mạo danh bộ phận hỗ trợ kỹ thuật của Microsoft hoặc chuyên gia Công nghệ thông tin từ công ty của người dùng bị nhắm mục tiêu để giành quyền truy cập ban đầu vào thiết bị của nạn nhân”, công ty cho biết.
Quick Assist là một ứng dụng hợp pháp của Microsoft cho phép người dùng chia sẻ thiết bị Windows hoặc macOS của họ với người khác qua kết nối từ xa, chủ yếu nhằm mục đích khắc phục sự cố kỹ thuật trên hệ thống của họ. Nó được cài đặt theo mặc định trên các thiết bị chạy Windows 11.
Để tăng tỉ lệ nạn nhân bị lừa, các tác nhân đe dọa đã tiến hành các cuộc tấn công liệt kê liên kết, một kiểu tấn công spam email trong đó địa chỉ email bị nhắm mục tiêu được sử dụng để đăng ký cho nhiều dịch vụ hợp pháp khác nhau để làm ngập hộp thư đến của nạn nhân với các nội dung đã đăng ký.
Sau đó, kẻ tấn công giả dạng nhóm hỗ trợ CNTT của công ty gọi điện thoại tới người dùng mục tiêu để đề nghị hỗ trợ khắc phục vấn đề thư rác và cố thuyết phục họ cấp quyền truy cập vào thiết bị của họ thông qua tính năng Quick Assist.
cho biết: “Sau khi người dùng cho phép truy cập và kiểm soát, kẻ đe dọa sẽ chạy lệnh cURL để tải xuống tệp thực thi hoặc tệp ZIP được sử dụng để triển khai ”.
"Storm-1811 tận dụng quyền truy cập để thực hiện các hoạt động khai thác như thu thập thông tin tên miền và tìm cách mở rộng phạm vi xâm nhập. Sau đó, Storm-1811 sử dụng PsExec để triển khai ransomware Black Basta trên hệ thống mạng của nạn nhân".
Microsoft đang điều tra kỹ hơn về việc sử dụng sai mục đích Quick Assist trong các cuộc tấn công này và cho biết họ cũng đang nỗ lực kết hợp các thông báo trong phần mềm để cảnh báo cho người dùng về các hành vi lừa đảo hỗ trợ kỹ thuật có thể xảy ra.
Rapid7 cho biết, chiến dịch này, được cho là bắt đầu từ giữa tháng 4 năm nay, nhắm mục tiêu vào nhiều ngành công nghiệp và lĩnh vực khác nhau, bao gồm sản xuất, xây dựng, thực phẩm, đồ uống và vận tải, cho thấy tính cơ hội của các cuộc tấn công.
Robert Knapp, giám đốc cấp cao về ứng phó sự cố cho biết: “Rào cản thấp để thực hiện các cuộc tấn công này cùng với tác động đáng kể mà nó gây ra đối với nạn nhân khiến ransomware tiếp tục trở thành một phương tiện phổ biến mà các tác nhân đe dọa lạm dụng cho mục đích thu lợi”.
Microsoft cho biết thêm rằng: “Kể từ khi Black Basta xuất hiện lần đầu vào tháng 4 năm 2022, những kẻ lạm dụng Black Basta đã triển khai ransomware sau khi có được quyền truy cập từ QakBot và các bên phân phối mã độc khác, nhấn mạnh rằng các tổ chức cần tập trung vào các giai đoạn tấn công trước khi triển khai ransomware để giảm thiểu mối đe dọa này.”
Các tổ chức nên chặn hoặc gỡ cài đặt Quick Assist cũng như các công cụ quản lý và giám sát từ xa tương tự nếu không sử dụng, đồng thời đào tạo nhân viên cách nhận biết các hành vi lừa đảo có thể xảy ra để giảm thiểu nguy cơ tổ chức hoặc người dùng bị tấn công.
Bá Phúc
08:00 | 26/08/2024
13:00 | 19/05/2021
17:00 | 12/07/2024
10:00 | 28/03/2024
13:00 | 30/07/2024
07:00 | 15/01/2024
10:00 | 14/08/2024
09:00 | 03/07/2024
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
07:00 | 16/09/2024
Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
