Symantec’in yeni bulgularına göre, Black Basta fidye yazılımıyla bağlantılı tehdit aktörleri, Microsoft Windows Hata Raporlama Hizmeti’nde yakın zamanda açıklanan bir ayrıcalık yükseltme kusurundan sıfır gün olarak yararlanmış olabilir.
Söz konusu güvenlik açığı CVE-2024-26169’dur (CVSS puanı: 7,8), Windows Hata Raporlama Hizmeti’nde SİSTEM ayrıcalıklarına ulaşmak için istismar edilebilecek bir ayrıcalık yükselmesi hatasıdır. Mart 2024’te Microsoft tarafından yama uygulandı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, “Son saldırılarda kullanılan bir yararlanma aracının analizi, bunun yama öncesinde derlenmiş olabileceğine dair kanıtlar ortaya çıkardı; bu da en az bir grubun bu güvenlik açığından sıfır gün olarak yararlanmış olabileceği anlamına geliyor” dedi. The Hacker News ile paylaşılan bir raporda şöyle söylendi.
Finansal motivasyona sahip tehdit kümesi, Storm-1811 ve UNC4393 olarak da bilinen Cardinal adı altında şirket tarafından takip ediliyor.
Black Basta fidye yazılımını dağıtarak, genellikle diğer saldırganların (başlangıçta QakBot ve ardından DarkGate) elde ettiği ilk erişimden yararlanarak hedef ortamları ihlal ederek erişimden para kazandığı biliniyor.
Son aylarda tehdit aktörünün Quick Assist ve Microsoft Teams gibi meşru Microsoft ürünlerini kullanıcılara virüs bulaştırmak için saldırı vektörleri olarak kullandığı gözlemlendi.
Microsoft, “Tehdit aktörü, BT veya yardım masası personelinin kimliğine bürünmek amacıyla mesaj göndermek ve çağrı başlatmak için Teams’i kullanıyor” dedi. “Bu etkinlik, Hızlı Yardım’ın kötüye kullanılmasına, ardından EvilProxy kullanılarak kimlik bilgilerinin çalınmasına, toplu komut dosyalarının yürütülmesine ve kalıcılık ve komuta ve kontrol için SystemBC’nin kullanılmasına yol açıyor.”
Symantec, bu istismar aracının denenen ancak başarısız olan bir fidye yazılımı saldırısının parçası olarak kullanıldığını gözlemlediğini söyledi.
Araç “werkernel.sys Windows dosyasının kayıt defteri anahtarlarını oluştururken boş bir güvenlik tanımlayıcısı kullanması gerçeğinden yararlanıyor” diye açıkladı.
“Bu istismar, ‘HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe’ kayıt defteri anahtarı oluşturmak için bundan yararlanıyor ve burada ‘Hata Ayıklayıcı’ değerini kendi yürütülebilir yol adı olarak ayarlıyor. Bu, Yönetici ayrıcalıklarına sahip bir kabuk başlatmak için yararlanın.”
Yapının meta veri analizi, yapının 27 Şubat 2024’te, yani güvenlik açığının Microsoft tarafından giderilmesinden birkaç hafta önce derlendiğini, VirusTotal’da ortaya çıkarılan başka bir örneğin ise derleme zaman damgasının 18 Aralık 2023 olduğunu gösteriyor.
Tehdit aktörleri, eylemlerini gizlemek veya soruşturmaları engellemek için (zaman damgalama olarak adlandırılan bir teknik) güvenliği ihlal edilmiş bir sistemdeki dosya ve dizinlerin zaman damgalarını değiştirmeye eğilimli olsa da, Symantec bu durumda bunu yapmanın muhtemelen çok az nedeni olduğuna dikkat çekti.
Bu gelişme, Makop kötü amaçlı yazılım ailesinin bir çeşidi olan DORRA adı verilen yeni bir fidye yazılımı ailesinin ortaya çıktığı dönemde gerçekleşti; fidye yazılımı saldırıları, 2022’deki düşüşten sonra bir nevi yeniden canlanmaya devam ediyor.
Google’ın sahibi olduğu Mandiant’a göre fidye yazılımı salgını, veri sızıntısı sitelerindeki gönderilerde %75’lik bir artışa tanık oldu; saldırganlara 2022’de 567 milyon ve 2021’de 983 milyon dolardan 2023’te 1,1 milyar dolardan fazla ödeme yapıldı.
Şirket, “Bu, 2022’de gasp faaliyetlerinde gözlenen hafif düşüşün, potansiyel olarak Ukrayna’nın işgali ve Conti sohbetlerinin sızdırılması gibi faktörlerden kaynaklanan bir anormallik olduğunu gösteriyor” dedi.
“Şantaj faaliyetlerindeki mevcut yeniden canlanma, muhtemelen 2022’deki çalkantılı bir yılın ardından siber suç ekosisteminin yeniden düzenlenmesi, yeni girenler ve daha önce sekteye uğrayan üretken gruplarla ilişkili aktörlerin yeni ortaklıkları ve fidye yazılımı hizmetleri teklifleri de dahil olmak üzere çeşitli faktörlerden kaynaklanıyor. “