黑客团伙滥用微软Quick Assist部署Black Basta勒索软件

近日，多家网络安全机构发现，一个名为Storm-1811的网络犯罪团伙正在利用微软的Quick Assist应用进行社会工程攻击，部署Black Basta勒索软件。这种恶意活动自四月中旬以来一直在进行，已对众多企业和个人用户造成了严重损害。

攻击机制揭示

Storm-1811主要采用语音钓鱼（Vishing）和垃圾邮件轰炸的方式来诱骗目标用户。他们冒充IT支持人员，通过电话联系受害者，声称帮助解决电脑问题并指导其通过Quick Assist授予远程访问权限。具体来说，攻击者指示受害者按下快捷键CTRL+Windows+Q启动Quick Assist并输入安全代码。一旦获得访问权限，攻击者就能完全控制受害者的电脑。

在获取控制权后，攻击者使用键盘命令下载并安装远程管理工具（如ScreenConnect和NetSupport Manager）和恶意软件（包括QBot和Cobalt Strike）。这些工具使攻击者能够在受害者的网络内横向移动，扩大攻击范围。

真实案例

1. 1. 金融服务公司

      一家使用托管检测和响应（MDR）服务的金融服务公司成为攻击目标。攻击者通过垃圾邮件和钓鱼电话轰炸管理员，随后部署Black Basta勒索软件并加密了关键的财务数据。尽管公司立即采取措施恢复数据，但这一事件导致了数百万美元的损失。

2. 2. 医疗机构 

      一家医疗机构的IT部门接到一个冒充技术支持人员的电话，请求通过Quick Assist解决系统问题。IT团队信任了该电话，授予了访问权限，使攻击者能够控制整个医疗系统并加密患者记录和医疗数据。此次攻击不仅造成了数百万美元的经济损失，还严重影响了患者的医疗服务。

微软的应对措施

微软已确认Quick Assist的滥用，并正在调查这些攻击事件。他们计划通过增加警告信息和提高用户之间的透明度和信任度来增强Quick Assist的安全性。微软建议用户和组织在不使用时屏蔽或卸载Quick Assist及其他远程管理工具，以减少此类社会工程攻击的风险。

此外，微软提供了一套全面的妥协指示和威胁搜寻查询，以帮助客户检测其网络中的恶意活动。例如，监控可疑的cURL行为或潜在恶意使用代理和隧道工具，可以帮助早期发现和防止攻击。

预防措施

为了防范类似的社会工程攻击，网络安全专家建议用户和组织增加安全意识培训，对未经请求的电话保持警惕，并验证技术支持请求的合法性。定期审查和更新安全政策，并确保严格控制远程管理工具的使用，也同样重要。

Storm-1811团伙最近利用Quick Assist进行的攻击强调了强大网络安全措施和提高警惕的重要性。企业和个人用户必须共同努力，创造一个更安全的数字环境。