С начала апреля 2024 года наблюдается использование Storm-1811 инструмента управления клиентами Quick Assist для проведения атак социальной инженерии на пользователей. Злоумышленники выдают себя за сотрудников службы технической поддержки Microsoft или IT-специалистов, чтобы получить доступ к целевым устройствам. Они используют функции Quick Assist для удаленного подключения к устройствам, просмотра экрана и получения полного контроля над ними.
В процессе атаки с использованием Quick Assist злоумышленник заставляет пользователя ввести код безопасности и разрешить доступ к устройству. После этого злоумышленник получает полный контроль над устройством и может загрузить и запустить вредоносные программы, такие как Qakbot, Cobalt Strike и Black Basta ransomware.
Indicators of Compromise
Domains
- greekpool.com
- instance-olqdnn-relay.screenconnect.com
- realsepnews.com
- upd5.pro
- upd7.com
- upd7a.com
- upd9.com
- zziveastnews.com
SHA256
- 0f9156f91c387e7781603ed716dcdc3f5342ece96e155115708b1662b0f9b4d0
- 1ad05a4a849d7ed09e2efb38f5424523651baf3326b5f95e05f6726f564ccc30
- 1cb1864314262e71de1565e198193877ef83e98823a7da81eb3d59894b5a4cfb
- 71d50b74f81d27feefbc2bc0f631b0ed7fcdf88b1abbd6d104e66638993786f8
- 93058bd5fe5f046e298e1d3655274ae4c08f07a8b6876e61629ae4a0b510a2f7
