Les acteurs menaçants liés au ransomware Black Basta pourraient avoir exploité une faille d’élévation de privilèges récemment révélée dans le service de rapport d’erreurs de Microsoft Windows en tant que jour zéro, selon de nouvelles découvertes de Symantec.
La faille de sécurité en question est CVE-2024-26169 (score CVSS : 7,8), un bug d’élévation de privilèges dans le service de rapport d’erreurs Windows qui pourrait être exploité pour obtenir les privilèges SYSTÈME. Il a été corrigé par Microsoft en mars 2024.
« L’analyse d’un outil d’exploitation déployé lors d’attaques récentes a révélé qu’il aurait pu être compilé avant l’application du correctif, ce qui signifie qu’au moins un groupe aurait pu exploiter la vulnérabilité en tant que jour zéro », a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom. dit dans un rapport partagé avec The Hacker News.
Le groupe de menaces à motivation financière est suivi par la société sous le nom de Cardinal, également connu sous les noms de Storm-1811 et UNC4393.
Il est connu pour monétiser l’accès en déployant le ransomware Black Basta, généralement en exploitant l’accès initial obtenu par d’autres attaquants – initialement QakBot puis DarkGate – pour violer les environnements cibles.
Ces derniers mois, l’acteur malveillant a été observé utilisant des produits Microsoft légitimes tels que Quick Assist et Microsoft Teams comme vecteurs d’attaque pour infecter les utilisateurs.
« L’acteur malveillant utilise Teams pour envoyer des messages et lancer des appels dans le but de se faire passer pour le personnel informatique ou du service d’assistance », Microsoft dit. « Cette activité conduit à une utilisation abusive de Quick Assist, suivie d’un vol d’informations d’identification à l’aide d’EvilProxy, de l’exécution de scripts batch et de l’utilisation de SystemBC pour la persistance, le commandement et le contrôle. »
Symantec a déclaré avoir observé que l’outil d’exploitation était utilisé dans le cadre d’une tentative d’attaque de ransomware, mais sans succès.
L’outil « profite du fait que le fichier Windows werkernel.sys utilise un descripteur de sécurité nul lors de la création des clés de registre », explique-t-il.
« L’exploit profite de cela pour créer une clé de registre ‘HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe’ où il définit la valeur ‘Debugger’ comme son propre chemin d’accès exécutable. Cela permet au exploiter pour démarrer un shell avec des privilèges administratifs. »
L’analyse des métadonnées de l’artefact montre qu’il a été compilé le 27 février 2024, plusieurs semaines avant que la vulnérabilité ne soit corrigée par Microsoft, tandis qu’un autre échantillon découvert sur VirusTotal avait un horodatage de compilation du 18 décembre 2023.
Alors que les auteurs de menaces sont enclins à modifier l’horodatage des fichiers et des répertoires d’un système compromis pour dissimuler leurs actions ou entraver les enquêtes, une technique appelée horodatage – Symantec a souligné qu’il y a probablement très peu de raisons de le faire dans ce cas.
Ce développement intervient au milieu de l’émergence d’une nouvelle famille de ransomwares appelée DORRA il s’agit d’une variante de la famille de logiciels malveillants Makop, car les attaques de rançongiciels continuent d’avoir un impact une sorte de renaissance après un creux en 2022.
Selon Mandiant, société appartenant à Google, l’épidémie de ransomware a connu une augmentation de 75 % des publications sur les sites de fuite de données, avec plus de 1,1 milliard de dollars versés aux attaquants en 2023, contre 567 millions de dollars en 2022 et 983 millions de dollars en 2021.
« Cela montre que la légère baisse des activités d’extorsion observée en 2022 était une anomalie, potentiellement due à des facteurs tels que l’invasion de l’Ukraine et la fuite des conversations Conti », a déclaré la société. dit.
« La résurgence actuelle des activités d’extorsion est probablement due à divers facteurs, notamment la réinstallation de l’écosystème cybercriminel après une année tumultueuse en 2022, de nouveaux entrants et de nouveaux partenariats et offres de services de ransomware par des acteurs auparavant associés à des groupes prolifiques qui avaient été perturbés. « .