Peretas Gunakan Quick Assist Microsoft untuk sebarkan Ransomware
- Pabila Syaftahan
- •
- 01 Agt 2024 11.16 WIB
Alat bantu jarak jauh sering kali menjadi sasaran empuk bagi peretas karena memberikan akses langsung ke sistem dengan sedikit usaha. Alat-alat ini, yang dirancang untuk pengendalian dan akses jarak jauh, sangat menarik bagi penyerang yang ingin meretas jaringan atau mengambil alih perangkat tertentu.
Eksploitasi Akses Jarak Jauh Quick Assist
Baru-baru ini, Microsoft mengidentifikasi kelompok peretas bernama Storm-1811 yang menggunakan Quick Assist untuk melancarkan serangan rekayasa sosial. Tujuan akhirnya adalah menyebarkan ransomware Black Basta. Serangan dimulai dengan metode vishing (voice phishing), yang memanfaatkan akses jarak jauh Quick Assist untuk melakukan kompromi awal. Setelah itu, peretas mengirimkan berbagai jenis malware seperti:
- Qakbot
- Cobalt Strike
Microsoft telah memperkuat peringatan Quick Assist terhadap penipuan dukungan teknis dan memperbaiki deteksi untuk memblokir aktivitas jahat. Dengan memblokir alat jarak jauh yang tidak digunakan dan memberikan edukasi kepada pengguna tentang cara mengenali penipuan, risiko dapat diminimalisir.
Metode Serangan
Pelaku ancaman biasanya berpura-pura menjadi dukungan IT untuk melakukan serangan vishing. Mereka menipu target agar memberikan akses jarak jauh Quick Assist dengan berpura-pura memperbaiki masalah atau menawarkan bantuan palsu sebagai respons terhadap email spam.
Selama panggilan, peretas meminta korban untuk memulai Quick Assist, memasukkan kode yang diberikan, mengaktifkan berbagi layar, dan memberikan akses kontrol. Ini menyebabkan perangkat korban sepenuhnya terkompromi.
Setelah menguasai perangkat melalui Quick Assist, peretas menjalankan skrip untuk mengunduh muatan berbahaya. Terkadang, muatan ini berpura-pura sebagai pembaruan filter spam untuk mencuri kredensial. Beberapa muatan yang diamati termasuk Qakbot dan alat manajemen jarak jauh seperti ScreenConnect dan Cobalt Strike. Serangan ini akhirnya berujung pada penyebaran ransomware Black Basta oleh kelompok Storm-1811.
Teknik yang Digunakan
Setelah mendapatkan akses awal, peretas menggunakan ScreenConnect untuk mempertahankan akses dan melakukan gerakan lateral. Mereka juga menggunakan NetSupport Manager untuk pengendalian jarak jauh dan OpenSSH untuk tunneling. Proses ini mencakup enumerasi domain dan penggunaan PsExec untuk menyebarkan ransomware Black Basta, yang diakses melalui Qakbot dan Cobalt Strike.
Black Basta adalah ransomware yang didistribusikan oleh beberapa aktor, yang biasanya bergantung pada broker akses awal. Dengan berfokus pada tahap pra-ransomware, mereka mengurangi dampak ancaman secara keseluruhan.
Rekomendasi Pencegahan
Untuk mengurangi risiko serangan seperti ini, Microsoft memberikan beberapa rekomendasi penting:
- Blokir dan hapus instalasi alat jarak jauh yang tidak digunakan seperti Quick Assist. Gunakan alternatif yang lebih aman seperti Remote Help.
- Edukasi pengguna tentang cara mengidentifikasi penipuan dukungan teknis dan tidak memberikan akses jarak jauh yang tidak sah.
- Laporkan sesi jarak jauh yang mencurigakan dan penipuan dukungan teknis.
- Latih pengguna tentang cara melindungi informasi, mengenali phishing, dan melaporkan upaya rekayasa sosial.
- Terapkan solusi anti-phishing seperti Defender for Office 365.
- Aktifkan perlindungan yang disampaikan melalui cloud dan perlindungan anti-tamper dalam antivirus.
- Aktifkan perlindungan jaringan terhadap domain berbahaya.
- Gunakan penyelidikan otomatis dan remediasi di Defender for Endpoint.
- Ikuti panduan penguatan ransomware dari Microsoft.
Indikator Kompromi (IoC)
Nama Domain:
- upd7a[.]com
- upd7[.]com
- upd9[.]com
- upd5[.]pro
SHA-256:
- 71d50b74f81d27feefbc2bc0f631b0ed7fcdf88b1abbd6d104e66638993786f8
- 0f9156f91c387e7781603ed716dcdc3f5342ece96e155115708b1662b0f9b4d0
- 1ad05a4a849d7ed09e2efb38f5424523651baf3326b5f95e05f6726f564ccc30
- 93058bd5fe5f046e298e1d3655274ae4c08f07a8b6876e61629ae4a0b510a2f7
- 1cb1864314262e71de1565e198193877ef83e98823a7da81eb3d59894b5a4cfb
ScreenConnect Relay:
- instance-olqdnn-relay.screenconnect[.]com
NetSupport C2:
- greekpool[.]com
Cobalt Strike Beacon C2:
- zziveastnews[.]com
- realsepnews[.]com
Dengan mematuhi rekomendasi ini dan tetap waspada terhadap taktik serangan yang digunakan oleh kelompok peretas, organisasi dapat mengurangi risiko serangan ransomware dan melindungi sistem mereka dari ancaman yang terus berkembang.