研究人员指出,对方通常会试图冒充技术人员或是服务台(Help Desk)人员,假借修复目标电脑的名义部署远端管理工具,以便对其进行控制。但究竟骇客怎么让电脑「故障」?研究人员指出,对方利用名为连结列表(Link Listing)的电子邮件轰炸攻击手法,为使用者大量订阅电子报,间接透过这些订阅内容将用户电子邮件信箱淹没,然后再拨打电话宣称能协助解决问题。
在通话的过程中,骇客引诱使用者按下快速键CTRL+Windows+Q,启动快速助手并输入安全性验证码,进而掌控受害者的电脑。
大多数人可能对于快速助手这个名称感到冒生,这项工具微软在Windows 10导入,主要用途是提供技术人员能透过网际网路远端协助用户排除问题。微软最早提供类似的功能是在Windows XP作业系统上,当时叫做「Windows远端协助(Windows Remote Assistance)」。
一旦使用者依照指示允许攻击者进行控制,对方就会透过cURL命令下载一系列的批次档或是ZIP压缩档,用途是传送恶意酬载。研究人员看到攻击者会使用QBot,但也有下载远端管理工具的情况。
研究人员指出,攻击者运用QBot传递Cobalt Strike及其他恶意酬载,而远端管理工具ScreenConnect则是用于进行横向移动,至于NetSupport Manager,对方拿来安装其他恶意程式,或是对受害电脑执行命令。在部分攻击行动里,骇客也会滥用OpenSSH来建立SSH隧道,以便持续在受害环境行动。
攻击者在结束通话后,会进一步进行侦察并横向移动,然后使用PsExec于受害组织的网路环境部署勒索软体并加密档案。