Siyah Basta fidye yazılımı işleminin, bir düzeltme yapılmadan önce sıfır gün olarak bir Windows ayrıcalık artış güvenlik açığı (CVE-2024-26169) kullanıldığından şüpheleniliyor.
Kusur, Windows Hata Raporlama Hizmetinde yüksek şiddetli bir sorundur (CVSS v3.1: 7.8) ve saldırganların ayrıcalıklarını sisteme yükseltmesine izin verir.
Microsoft, aylık yama Salı güncellemeleri aracılığıyla 12 Mart 2024'te kusuru düzeltti, satıcının sayfasındaki durumu aktif bir sömürü göstermedi.
Symantec'in bir raporu, CVE-2024-26169'un siyah Basta çetesinin operatörleri olan Kardinal Siber Salın Grubu (Storm-1811, UNC4394) tarafından aktif olarak kullanıldığını ve sıfır gün olarak kullanılma şansının iyi olduğunu belirtti. .
Symantec, Black Basta'nın Qakbot yayından kaldırılmasından bu yana kullandığı Darkgate yükleyici tarafından ilk enfeksiyonun ardından CVE-2024-26169 için bir istismar aracının kullanıldığı bir fidye yazılımı saldırısı girişimini araştırdı.
Analistler, saldırganların Black Basta ile bağlantılı olduğuna inanıyorlar, çünkü kötü niyetli komutları çalıştırmak ve bu grup için ortak bir taktik olan uzlaşılmış sistemlerde kalıcılık oluşturmak için tasarlanmış yazılım güncellemeleri olarak maskelenen parti komut dosyaları kullandılar.
Gözlenen istismar aracı, Windows dosyasının werkernel.sys'in kayıt defteri anahtarları oluştururken boş bir güvenlik tanımlayıcısı kullandığı gerçeğinden yararlandı.
Araç, bir kayıt defteri anahtarı (HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image Dosya Yürütme Seçenekleri \ werfault.exe) oluşturmak için bunu kullanır ve "hata ayıklayıcı" değerini kendi yürütülebilir yol adına ayarlar ve bir kabukla başlatmasına izin verir Sistem ayrıcalıkları.
Aşağıda, Microsoft Mart ayında kusuru düzeltmeden önce, yalnızca Şubat ayından itibaren Windows güvenlik güncellemelerini yükleyen bir Windows 11 cihazındaki istismar test eden BleepingComputer'ın bir gösterisi bulunmaktadır.
Symantec'in bulgularının büyüleyici bir yönü, istismar aracının bir varyantının 27 Şubat 2024 tarihli bir derleme zaman damgasına sahip olması, 18 Aralık 2023'te ikinci bir örnek daha önce inşa edildi.
Bu, Black Basta'nın Microsoft'un sonunda ayrıcalık yükseklik sorunu için bir düzeltme yapmasından 14 ila 85 gün arasında çalışan bir istismar aracı olduğu anlamına geliyor.
Symantec'in itiraf ettiği gibi, taşınabilir yürütülebilir ürünlerdeki zaman damgaları değiştirilebilirken, sıfır gün sömürüsünün meydana gelip gelmediğine dair sonuçsuz bulmayı sonuçsuz hale getirirken, saldırganların zaman damgalarını tahrif etmek için çok az motivasyon var gibi görünüyor, bu nedenle bu senaryo olası değildir.
Şu anda yok olan Conti siber suçla bağlantılı olduğuna inanılan bir fidye yazılımı operasyonu olan Black Basta, daha önce Windows araçlarını kötüye kullanma konusunda uzmanlık ve platformun derinlemesine anlaşılmasında uzmanlık göstermiştir.
CISA ve FBI'dan bir Mayıs 2024 danışmanlığı, Black Basta'nın yüksek hacimli faaliyetini vurguladı ve iştiraklerini Nisan 2022'den bu yana 500 ihlalden sorumlu tuttu.
Blockchain Analytics firması Eliptik Kasım 2023'te fidye yazılımı operasyonunun fidye ödemesinde 100 milyon dolardan fazla para kazandığını bildirdi.
Black Basta'nın bu güvenlik açığını kullanımını azaltmak için, en son Windows Güvenlik Güncellemesini uygulamak ve CISA tarafından paylaşılan yönergeleri izlemek önemlidir.
Saldırılarda sömürülen VPN Zero-Day için acil durum düzeltmesini kontrol ettirir.
Google Chrome Acil Durum Güncellemesi, 2024'te 6. Zero Day Soleed Düzeltmeleri
Google, bu yıl saldırılarda sömürülen beşinci krom sıfır gün
Tellyouthepass fidye yazılımı, son PHP RCE kusurunu ihlal etmek için kullanıyor sunucular
CISA aktif olarak sömürülen Linux ayrıcalık yükseklik kusuru konusunda uyarıyor
Kaynak: Bleeping Computer