QuickAssist Initial Access
17, May💡 Quick Assist Een handig tooltje in Windows voor ondersteuning op afstand bij computer problemen. Microsoft Support maakt hier bijvoorbeeld gebruik van, echter kwaadwillende (threat actor) cybercrime groeperingen ook!
🚦 De threat actor (cybercrime) groepering bekend als Storm-1811 maakt bijvoorbeeld veelvuldig gebruik van Quick Assist om mensen te misleiden om zo 'Initiele Toegang' te krijgen tot systemen. Hierbij worden de volgende technieken toegepast:
✉ Link listing attack: je mailadres wordt opgevoerd bij een groot aantal abonnementsdiensten, hierdoor wordt je mailbox spontaan overspoeld met reclame en inschrijving bevestiging e-mails.
📞 Voice Phishing & Impersonation: je wordt vervolgens gebeld door de kwaadwillende welke zich voordoet als je vertrouwde helpdesk om het 'spam' probleem op te lossen.
🆘 User Execution: de IT-helpdesk misleid je om Quick Assist te starten zodat hulp op afstand kan worden geboden waardoor threat actor 'Initial Acces' bereikt
☢ User Execution: De threat actor voert namens de gebruiker 'malicious payloads' en 'hands-on keyboard' actiies uit waarmee enumeratie, credential dumping, laterale beweging en persistence wordt gerealiseerd.
🔐 Ransomware: Bij succesvolle laterale beweging door het netwerk vindt uiteindelijk Data diefstal en encryptie (ransomware) plaats.
Stel je eens voor dat er bij Voice Phishing gebruik wordt gemaakt van bijv. Deepfake Voice Clones of AI Realtime vertalingen, nu is dat blijkbaar nog niet nodig om voldoende slachtoffers te maken.
📣 Maak je als organisatie geen gebruik van Quick Assist? Schakel het dan uit op al je managed endpoints volgens handleiding: https://learn.microsoft.com/en-us/windows/client-management/client-tools/quick-assist#disable-quick-assist-within-your-organization