Търсене
Close this search box.

Подозира се, че операцията Black Basta ransomware използва уязвимост за увеличаване на привилегиите в Windows (CVE-2024-26169) като нулев ден, преди да бъде предоставена поправка.

Недостатъкът е проблем с висока степен на опасност (CVSS v3.1: 7.8) в услугата Windows Error Reporting Service, който позволява на нападателите да повишат привилегиите си до SYSTEM.

Microsoft отстрани дефекта на 12 март 2024 г. чрез месечните си актуализации Patch Tuesday, а статусът му в страницата на производителя не показва активна експлоатация.

В доклад на Symantec се казва, че CVE-2024-26169 е бил активно експлоатиран от киберпрестъпната група Cardinal (Storm-1811, UNC4394), операторите на бандата Black Basta, като се отбелязва, че има голяма вероятност той да е бил използван като нулев ден.

Експлоатиране на CVE-2024-26169

Symantec разследва опит за ransomware атака, при която е използван инструмент за експлойт за CVE-2024-26169 след първоначална инфекция с DarkGate loader, който Black Basta използва след свалянето на QakBot.

Анализаторите смятат, че нападателите са свързани с Black Basta, тъй като са използвали пакетни скриптове, които се маскират като софтуерни актуализации, предназначени за изпълнение на злонамерени команди и установяване на постоянство в компрометираните системи – обичайна тактика за тази група.

Наблюдаваният инструмент за експлойт е използвал факта, че файлът werkernel.sys на Windows използва нулев дескриптор за сигурност при създаването на ключове за регистъра.

Инструментът се възползва от това, за да създаде ключ от регистъра (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) и задава стойността „Debugger“ на собственото си изпълнимо име, което му позволява да стартира шел с привилегии на SYSTEM.

Интересен аспект от констатациите на Symantec е, че един вариант на инструмента за експлойт има времева марка на компилация от 27 февруари 2024 г., докато вторият образец е създаден дори по-рано, на 18 декември 2023 г.

Това означава, че Black Basta е разполагал с работещ инструмент за експлойт между 14 и 85 дни преди Microsoft в крайна сметка да пусне поправка за проблема с повишаването на привилегиите.

Макар че времевите маркери в преносимите изпълними файлове могат да бъдат променяни, както признава Symantec, което прави констатацията неубедителна по отношение на това дали е имало използване на нулев ден, изглежда, че нападателите са имали малка мотивация да фалшифицират времевите маркери, така че този сценарий е малко вероятен.

Black Basta, операция за рансъмуер, за която се смята, че е свързана с вече несъществуващия киберпрестъпнически синдикат Conti, и преди е демонстрирала опит в злоупотребата с инструменти на Windows и задълбочено познаване на платформата.

В консултация от май 2024 г. на CISA и ФБР се подчертава високообемната дейност на Black Basta, като нейните филиали са отговорни за 500 пробива от април 2022 г. насам, когато е стартирала дейността си.

През ноември 2023 г. фирмата за блокчейн анализи Elliptic съобщи, че операцията е получила откупи за над 100 млн. долара.

За да се намали използването на тази уязвимост от Black Basta, е важно да се приложи най-новата актуализация на сигурността на Windows и да се следват насоките, споделени от CISA.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
02/10/2024

Нови арести за LockBit

Правоприлагащите органи от 12 държави арестуваха...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!