Η λειτουργία
ransomware
Black Basta είναι ύποπτη ότι εκμεταλλεύεται μια ευπάθεια κλιμάκωσης των προνομίων των Windows (CVE-2024-26169) ως μηδενική ημέρα πριν από τη διάθεση μιας επιδιόρθωσης.
Το ελάττωμα είναι ένα ζήτημα υψηλής σοβαρότητας (CVSS v3.1: 7.8) στην υπηρεσία αναφοράς σφαλμάτων των Windows, επιτρέποντας στους εισβολείς να αυξήσουν τα προνόμιά τους στο SYSTEM.
Η
Microsoft
διόρθωσε το ελάττωμα στις 12 Μαρτίου 2024, μέσω των μηνιαίων ενημερώσεων του Patch Tuesday, ενώ η κατάστασή του στο
σελίδα πωλητή
δεν παρουσιάζει ενεργή εκμετάλλευση.
Μια αναφορά της Symantec αναφέρει ότι το CVE-2024-26169 έχει αξιοποιηθεί ενεργά από την ομάδα κυβερνοεγκλήματος Cardinal (Storm-1811, UNC4394), τους χειριστές της συμμορίας Black Basta, σημειώνοντας ότι υπάρχει μεγάλη πιθανότητα να αξιοποιηθεί ως μηδενική ημέρα .
Εκμετάλλευση του CVE-2024-26169
Symantec
ερευνηθεί
μια απόπειρα επίθεσης ransomware όπου ένα εργαλείο εκμετάλλευσης για το CVE-2024-26169 αναπτύχθηκε μετά από μια αρχική μόλυνση από τον φορτωτή DarkGate, τον οποίο χρησιμοποιεί ο Black Basta από την κατάργηση του QakBot.
Οι αναλυτές πιστεύουν ότι οι επιτιθέμενοι συνδέονται με το Black Basta επειδή χρησιμοποίησαν δέσμες ενεργειών που μεταμφιέζονται ως ενημερώσεις λογισμικού που έχουν σχεδιαστεί για να εκτελούν κακόβουλες εντολές και να επιμένουν σε παραβιασμένα συστήματα, μια κοινή τακτική για αυτήν την ομάδα.
Το παρατηρούμενο εργαλείο εκμετάλλευσης αξιοποίησε το γεγονός ότι το αρχείο των Windows werkernel.sys χρησιμοποιεί έναν περιγραφέα ασφάλειας null κατά τη δημιουργία κλειδιών μητρώου.
Το εργαλείο το εκμεταλλεύεται αυτό για να δημιουργήσει ένα κλειδί μητρώου (HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe) και ορίζει την τιμή “Debugger” στο δικό του εκτελέσιμο όνομα διαδρομής, επιτρέποντάς του να εκκινήσει ένα κέλυφος με Προνόμια ΣΥΣΤΗΜΑΤΟΣ.
Ακολουθεί μια επίδειξη του BleepingComputer που δοκιμάζει το exploit σε μια συσκευή Windows 11 που έχει εγκαταστήσει μόνο τις ενημερώσεις ασφαλείας των Windows από τον Φεβρουάριο, πριν η Microsoft διορθώσει το ελάττωμα τον Μάρτιο.
Επίδειξη του exploit CVE-2024-26169 που χρησιμοποιείται από τον Black Basta
Πηγή: BleepingComputer
Μια συναρπαστική πτυχή των ευρημάτων της Symantec είναι ότι μια παραλλαγή του εργαλείου εκμετάλλευσης έχει μια χρονική σήμανση συλλογής με
ημερομηνία
27 Φεβρουαρίου 2024, ενώ ένα δεύτερο δείγμα κατασκευάστηκε ακόμη νωρίτερα, στις 18 Δεκεμβρίου 2023.
Αυτό σημαίνει ότι το Black Basta διέθετε ένα λειτουργικό εργαλείο εκμετάλλευσης μεταξύ
14
και 85 ημερών προτού η Microsoft προωθήσει τελικά μια επιδιόρθωση για το ζήτημα της αύξησης των προνομίων.
Ενώ οι χρονικές σημάνσεις σε φορητά εκτελέσιμα αρχεία μπορούν να τροποποιηθούν, όπως παραδέχεται η Symantec, καθιστώντας το εύρημα ασαφές σχετικά με το αν συνέβη η εκμετάλλευση μηδενικής ημέρας, φαίνεται να υπάρχει μικρό κίνητρο για τους εισβολείς να παραποιήσουν τις χρονικές σημάνσεις, επομένως αυτό το σενάριο είναι απίθανο.
Το Black Basta, μια επιχείρηση ransomware που πιστεύεται ότι συνδέεται με το πλέον ανενεργό συνδικάτο Conti cybercrime, έχει αποδείξει στο παρελθόν τεχνογνωσία στην κατάχρηση εργαλείων των Windows και σε βάθος κατανόηση της πλατφόρμας.
Μια συμβουλή του Μαΐου 2024 από την CISA και το FBI υπογράμμισε τη δραστηριότητα μεγάλου όγκου της Black Basta, θεωρώντας τις θυγατρικές της υπεύθυνες για 500 παραβιάσεις από τον Απρίλιο του 2022, την εποχή της κυκλοφορίας της.
Η εταιρεία ανάλυσης
Blockchain
Elliptic ανέφερε τον Νοέμβριο του 2023 ότι η επιχείρηση ransomware είχε καταβάλει πάνω από 100 εκατομμύρια δολάρια σε πληρωμές λύτρων.
Για να μετριαστεί η χρήση αυτής της ευπάθειας από το Black Basta, είναι απαραίτητο να εφαρμόσετε την πιο πρόσφατη ενημέρωση ασφαλείας των Windows και να ακολουθήσετε
κατευθυντήριες γραμμές που κοινοποιούνται από την CISA
.
VIA:
bleepingcomputer.com
0