悪用されたWindowsクイックアシストツールがBlack Bastaランサムウェアの脅威アクターを助ける可能性がある

リモート アクセス ツールの利用は、企業にとって二重の課題をもたらします。特に、高度なソーシャル エンジニアリング戦術に長けた脅威アクターによって悪用された場合はなおさらです。最近、Microsoft Threat Intelligence は、Storm-1811 として識別される金銭目的のグループによって組織されたBlack Basta ランサムウェアフィッシング キャンペーンの出現を取り上げました。このグループは、Microsoft サポートや社内 IT 担当者などの信頼できる組織を装ったソーシャル エンジニアリング手法を使用して、被害者を誘導し、リモート接続を容易にする Windows アプリケーションである Quick Assist 経由でリモート アクセスを許可させます。

信頼関係が確立され、アクセスが許可されると、Storm-1811 はさまざまなマルウェアを展開し、最終的には Black Basta ランサムウェアを配布します。この手法は、熟練したソーシャル エンジニアリング スキルを持つ脅威アクターが従来のセキュリティ対策を回避して、合法的なリモート アクセス ツールを簡単に操作できることを強調しています。これらの高度なソーシャル エンジニアリング戦術には、企業のセキュリティ チームによる積極的な対応が必要であり、警戒の強化と従業員の包括的なトレーニングを重視します。

Storm-1811 の手口には、フィッシング、メール爆撃、IT 担当者のなりすましなどを組み合わせて、ユーザーを騙して危険にさらすという手法が用いられます。攻撃者はフィッシングの電話をかける前に被害者に大量のメールを送りつけ、その結果生じる混乱を利用して被害者に悪意のあるクイック アシスト リクエストを受け入れるよう強要します。この組織化された爆撃は被害者を混乱させ、操作を成功させ、その後マルウェアを展開する道を開きます。

Microsoft の観察により、Storm-1811 は、ScreenConnect や NetSupport Manager などのリモート監視ツールを通じて配信される Qakbot や Cobalt Strike などのさまざまなマルウェアを使用していることが明らかになりました。アクセスが確立されると、攻撃者はスクリプト化されたコマンドを使用して悪意のあるペイロードをダウンロードして実行し、侵害されたシステムに対する制御を維持します。さらに、Storm-1811 は OpenSSH トンネリングや PsExec などのツールを活用して持続性を維持し、ネットワーク全体に Black Basta ランサムウェアを展開します。

このような攻撃を軽減するには、使用していないリモート アクセス ツールをアンインストールし、ゼロ トラスト アーキテクチャを備えた権限アクセス管理ソリューションを実装することをお勧めします。定期的な従業員トレーニングは、ソーシャル エンジニアリング戦術やフィッシング詐欺に対する認識を高め、スタッフが潜在的な脅威を特定して阻止できるようにする上で非常に重要です。高度な電子メール ソリューションとイベント監視により防御がさらに強化され、悪意のあるアクティビティを迅速に検出して軽減できます。

高度なソーシャル エンジニアリングによるリモート アクセス ツールの悪用は、サイバー脅威の進化を浮き彫りにしています。これらの課題に対処するには、悪意のある悪用から保護するための技術的な防御、従業員の教育、予防的なセキュリティ対策など、多面的なアプローチが必要です。