Symantec’in yeni bulgularına göre, Black Basta fidye yazılımıyla bağlantılı tehdit aktörleri, Microsoft Windows Hata Raporlama Hizmeti’nde yakın zamanda açıklanan bir ayrıcalık yükseltme kusurunu sıfır gün olarak kullanmış olabilir.
Söz konusu güvenlik açığı CVE-2024-26169 (CVSS puanı: 7,8), Windows Hata Raporlama Hizmeti’nde SİSTEM ayrıcalıklarına ulaşmak için istismar edilebilecek bir ayrıcalık yükselmesi hatası. Mart 2024’te Microsoft tarafından yama uygulandı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, “Son saldırılarda kullanılan bir yararlanma aracının analizi, bunun yama öncesinde derlenmiş olabileceğine dair kanıtlar ortaya çıkardı; bu da en az bir grubun bu güvenlik açığından sıfır gün olarak yararlanmış olabileceği anlamına geliyor” dedi. dedi ki rapor The Hacker News ile paylaşıldı.
Finansal motivasyona sahip tehdit kümesi, Storm-1811 olarak da bilinen Cardinal adı altında şirket tarafından takip ediliyor. UNC4393.
Black Basta fidye yazılımını dağıtarak, genellikle diğer saldırganların (başlangıçta QakBot ve ardından DarkGate) elde ettiği ilk erişimden yararlanarak hedef ortamları ihlal ederek erişimden para kazandığı biliniyor.
Son aylarda tehdit aktörünün Quick Assist ve Microsoft Teams gibi meşru Microsoft ürünlerini kullanıcılara virüs bulaştırmak için saldırı vektörleri olarak kullandığı gözlemlendi.
Microsoft, “Tehdit aktörü, BT veya yardım masası personelinin kimliğine bürünmek amacıyla mesaj göndermek ve çağrı başlatmak için Teams’i kullanıyor” dedi. söz konusu. “Bu etkinlik, Hızlı Yardım’ın kötüye kullanılmasına, ardından EvilProxy kullanılarak kimlik bilgilerinin çalınmasına, toplu komut dosyalarının yürütülmesine ve kalıcılık ve komuta ve kontrol için SystemBC’nin kullanılmasına yol açıyor.”
Symantec, istismar aracının denenen ancak başarısız olan bir fidye yazılımı saldırısının parçası olarak kullanıldığını gözlemlediğini söyledi.
Araç “werkernel.sys Windows dosyasının kayıt defteri anahtarlarını oluştururken boş bir güvenlik tanımlayıcısı kullanması gerçeğinden yararlanıyor” diye açıkladı.
“Bu istismar, ‘HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe’ kayıt defteri anahtarı oluşturmak için bundan yararlanıyor ve burada ‘Hata Ayıklayıcı’ değerini kendi yürütülebilir yol adı olarak ayarlıyor. Bu, Yönetici ayrıcalıklarına sahip bir kabuk başlatmak için yararlanın.”
Yapının meta veri analizi, yapının 27 Şubat 2024’te, yani güvenlik açığının Microsoft tarafından giderilmesinden birkaç hafta önce derlendiğini, VirusTotal’da ortaya çıkarılan başka bir örneğin ise derleme zaman damgasının 18 Aralık 2023 olduğunu gösteriyor.
Tehdit aktörleri, eylemlerini gizlemek veya soruşturmaları engellemek için güvenliği ihlal edilmiş bir sistemdeki dosya ve dizinlerin zaman damgalarını değiştirmeye eğilimlidir. zaman damgası – Symantec, bu durumda bunu yapmanın muhtemelen çok az nedeni olduğuna dikkat çekti.
Bu gelişme, yeni bir fidye yazılımı ailesinin ortaya çıkışı sırasında gerçekleşti. DORRA Fidye yazılımı saldırıları yaygınlaşmaya devam ettiğinden bu, Makop kötü amaçlı yazılım ailesinin bir çeşididir. bir nevi canlanma 2022’deki bir düşüşün ardından.
Google’ın sahibi olduğu Mandiant’a göre fidye yazılımı salgını, veri sızıntısı sitelerindeki gönderilerde %75’lik bir artışa tanık oldu. Saldırganlara 1,1 milyar dolardan fazla ödendi 2022’de 567 milyon dolar ve 2021’de 983 milyon dolardan 2023’te artış yaşandı.
Şirket, “Bu, 2022’de gasp faaliyetlerinde gözlenen hafif düşüşün, potansiyel olarak Ukrayna’nın işgali ve sızdırılan Conti sohbetleri gibi faktörlerden kaynaklanan bir anormallik olduğunu gösteriyor.” dedi. söz konusu.
“Şantaj faaliyetlerindeki mevcut yeniden canlanma, muhtemelen 2022’deki çalkantılı bir yılın ardından siber suç ekosisteminin yeniden düzenlenmesi, yeni girenler ve daha önce sekteye uğrayan üretken gruplarla ilişkili aktörlerin yeni ortaklıkları ve fidye yazılımı hizmetleri teklifleri de dahil olmak üzere çeşitli faktörlerden kaynaklanıyor. “