Подозира се, че операцията Black Basta ransomware използва уязвимост за увеличаване на привилегиите в Windows (CVE-2024-26169) като нулев ден, преди да бъде предоставена поправка.
Недостатъкът е проблем с висока степен на опасност (CVSS v3.1: 7.8) в услугата Windows Error Reporting Service, който позволява на нападателите да повишат привилегиите си до SYSTEM.
Microsoft отстрани дефекта на 12 март 2024 г. чрез месечните си актуализации Patch Tuesday, а статусът му в страницата на производителя не показва активна експлоатация.
В доклад на Symantec се казва, че CVE-2024-26169 е бил активно експлоатиран от киберпрестъпната група Cardinal (Storm-1811, UNC4394), операторите на бандата Black Basta, като се отбелязва, че има голяма вероятност той да е бил използван като нулев ден.
Symantec разследва опит за ransomware атака, при която е използван инструмент за експлойт за CVE-2024-26169 след първоначална инфекция с DarkGate loader, който Black Basta използва след свалянето на QakBot.
Анализаторите смятат, че нападателите са свързани с Black Basta, тъй като са използвали пакетни скриптове, които се маскират като софтуерни актуализации, предназначени за изпълнение на злонамерени команди и установяване на постоянство в компрометираните системи – обичайна тактика за тази група.
Наблюдаваният инструмент за експлойт е използвал факта, че файлът werkernel.sys на Windows използва нулев дескриптор за сигурност при създаването на ключове за регистъра.
Инструментът се възползва от това, за да създаде ключ от регистъра (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) и задава стойността „Debugger“ на собственото си изпълнимо име, което му позволява да стартира шел с привилегии на SYSTEM.
Интересен аспект от констатациите на Symantec е, че един вариант на инструмента за експлойт има времева марка на компилация от 27 февруари 2024 г., докато вторият образец е създаден дори по-рано, на 18 декември 2023 г.
Това означава, че Black Basta е разполагал с работещ инструмент за експлойт между 14 и 85 дни преди Microsoft в крайна сметка да пусне поправка за проблема с повишаването на привилегиите.
Макар че времевите маркери в преносимите изпълними файлове могат да бъдат променяни, както признава Symantec, което прави констатацията неубедителна по отношение на това дали е имало използване на нулев ден, изглежда, че нападателите са имали малка мотивация да фалшифицират времевите маркери, така че този сценарий е малко вероятен.
Black Basta, операция за рансъмуер, за която се смята, че е свързана с вече несъществуващия киберпрестъпнически синдикат Conti, и преди е демонстрирала опит в злоупотребата с инструменти на Windows и задълбочено познаване на платформата.
В консултация от май 2024 г. на CISA и ФБР се подчертава високообемната дейност на Black Basta, като нейните филиали са отговорни за 500 пробива от април 2022 г. насам, когато е стартирала дейността си.
През ноември 2023 г. фирмата за блокчейн анализи Elliptic съобщи, че операцията е получила откупи за над 100 млн. долара.
За да се намали използването на тази уязвимост от Black Basta, е важно да се приложи най-новата актуализация на сигурността на Windows и да се следват насоките, споделени от CISA.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.