Assistenz-Funktion von Microsoft für Ransomware-Angriffe missbraucht
Das Threat-Intelligence-Team von Microsoft hat herausgefunden, dass der Bedrohungsakteur Storm-1811 das Client-Management-Tool Quick Assist für Social-Engineering-Angriffe missbraucht.
„Storm-1811 ist eine finanziell motivierte Cyberkriminelle Gruppe, die für den Einsatz von Black Basta Ransomware bekannt ist“, berichtet Microsoft. Die Angriffskette beginnt mit Voice-Phishing, um Opfer zur Installation von Fernüberwachungstools zu bringen, gefolgt von der Nutzung von QakBot, Cobalt Strike und schließlich Black Basta Ransomware. „Die Angreifer nutzen Quick Assist für Social-Engineering-Angriffe, indem sie sich als vertrauenswürdiger Kontakt wie Microsoft-Support oder IT-Experten des Unternehmens ausgeben, um Zugang zu den Geräten der Opfer zu erhalten“, erklärt das Unternehmen weiter.
Quick Assist ist eine Microsoft-Anwendung, mit der Nutzer ihr Windows- oder macOS-Gerät über eine Remote-Verbindung teilen können, meist um technische Probleme zu lösen. Sie ist standardmäßig auf Windows 11 installiert.
Die Angreifer machen ihre Attacken überzeugender durch Link-Listing-Angriffe. Dabei melden sie die E-Mail-Adressen der Opfer bei verschiedenen legitimen Diensten an, um deren Posteingänge mit Spam zu überfluten. Der Angreifer gibt sich dann als IT-Support aus, ruft das Opfer an und bietet Hilfe beim Spam-Problem an. Er überredet das Opfer, ihm über Quick Assist Zugang zum Gerät zu gewähren. „Sobald der Nutzer den Zugriff erlaubt, führt der Angreifer einen cURL-Befehl aus, um bösartige Dateien herunterzuladen“, so Microsoft.
Storm-1811 nutzt den Zugriff, um weitere Aktivitäten wie Domain-Enumeration und seitliche Bewegungen durchzuführen. Danach verwendet Storm-1811 PsExec, um die Black-Basta-Ransomware im Netzwerk zu verteilen.
Microsoft untersucht den Missbrauch von Quick Assist in diesen Angriffen und plant, Warnmeldungen in die Software einzubauen, um Benutzer vor technischen Support-Betrügereien zu warnen, die zur Verbreitung von Ransomware beitragen könnten.
Laut Sicherheitsanbieter Rapid7 begann die Kampagne vermutlich Mitte April 2024 und richtete sich gegen verschiedene Industrien wie Fertigung, Bauwesen, Lebensmittel und Getränke sowie Transport, was auf den opportunistischen Charakter der Angriffe hinweist. „Die einfache Durchführung dieser Angriffe und die erheblichen Auswirkungen auf die Opfer machen Ransomware weiterhin zu einem effektiven Mittel für Angreifer, die auf schnelles Geld schielen“, so Robert Knapp von Rapid7.
Microsoft beschreibt Black Basta als ein geschlossenes Ransomware-Angebot, das von einem kleinen Kreis von Bedrohungsakteuren verbreitet wird, die auf andere für den Erstzugang, die Infrastruktur und die Malware-Entwicklung angewiesen sind. Seit dem ersten Auftauchen von Black Basta im April 2022 haben Angreifer die Ransomware eingesetzt, nachdem sie Zugang von QakBot und anderen Malware-Verteilern erhalten hatten.
Unternehmen sollten Quick Assist und ähnliche Tools entweder blockieren oder deinstallieren, wenn sie nicht genutzt werden, oder aber ihre Mitarbeiter darin schulen, technische Support-Betrügereien zu erkennen.