利用 Quick Assist 的网络诈骗与勒索病毒风险

主要重点

网络犯罪分子利用 Windows 的 Quick Assist 工具，通过社交工程技术在受害者系统上植入恶意软件和勒索病毒。微软警告企业注意这种新型的语音钓鱼诈骗，并建议采取预防措施。网络调查显示，这种攻击方法已在多个案例中得到验证，并且有逐步演变的趋势。

威胁行为者正在滥用 Windows 中的 Quick Assist 客户端管理工具，结合社交工程手法，在受害者的系统上安装恶意软件和勒索病毒。

在5月15日的公告中，微软提醒各组织提高警惕，警惕一种语音钓鱼vishing诈骗，网络罪犯通过诱骗受害者打开 Quick Assist 会话来进行攻击。

公司的威胁情报单元自4月中以来一直监控一个名为 Storm1811 的恶意行为者。该团伙利用远程监控和管理RMM工具来安装恶意软件，包括Qakbot、Cobalt Strike，以及最终的Black Basta 勒索病毒。

该诈骗的通常流程始于 Storm1811 对受害者发起一种电子邮件炸弹攻击，使用受害者的凭据间接订阅服务，淹没受害者的邮箱。随后，攻击者假装成技术支持人员电话联系受害者，并通过 Quick Assist 提供解决方案。

根据微软的公告，“一旦用户允许访问和控制，威胁行为者便运行一个脚本化的 cURL 命令，下载一系列批处理文件或 ZIP 文件以传递恶意负载。”

在电话结束后，Storm1811 的行为者还进行了进一步的“手动操作”，包括域名枚举和横向移动，然后使用 PsExec 在被攻击的网络中扩散 Black Basta。

微软指出，自2022年4月以来，Black Basta 攻击者在获得 Qakbot 及其他恶意软件的访问权限后，便开始部署勒索病毒，这突显了各组织需要专注于勒索病毒部署前的攻击阶段，以降低风险。

微软正调查 Quick Assist 在这些攻击中的使用情况，并致力于提升帮助者与分享者之间的透明度和信任度，并在 Quick Assist 中纳入警告信息，以提醒用户注意可能的技术支持诈骗。

在上周的文章中，Rapid7 的研究人员报告了同样的诈骗行为，针对该网络安全公司的多个客户实施诈骗。除了滥用 Quick Assist，Rapid7 还发现威胁行为者尝试使用其他流行的 RMM 工具，如 AnyDesk。

研究人员表示，“虽然在 Rapid7 处理的案例中没有观察到勒索病毒的部署，但我们观察到的妥协指标先前已与 Black Basta 勒索病毒的运营者相关联。”

为