Yeni kanıtlara göre, Black Basta fidye yazılımı çetesi, yama uygulanmadan sıfır gün önce Windows ayrıcalık yükseltme güvenlik açığından yararlanmış olabilir.
Symantec araştırmacıları, Cardinal siber suç örgütüne (Storm-1811 veya UNC4393 olarak da bilinir) bağlı Black Basta fidye yazılımı grubunun, Mart Yaması Salı günü düzeltmesinden sıfır gün önce Windows hata raporlama hizmetindeki bir kusurdan yararlanmış olabileceğine dair ayrıntıları ortaya çıkardı .
CVE-2024-26169 olarak takip edilen söz konusu güvenlik açığı, Windows Hata Bildirim Hizmeti’nde bulunuyor. Microsoft, yama sırasında “Bu güvenlik açığından başarıyla yararlanan bir saldırgan SİSTEM ayrıcalıkları kazanabilir” dedi.
O dönemde Redmond merkezli teknoloji devi, hatanın vahşi ortamda istismar edildiğine dair hiçbir kanıt bildirmemişti. Bununla birlikte, son saldırılarda kullanılan bir yararlanma aracının analizi, bunun resmi yamanın yayınlanmasından aylar önce derlenmiş olabileceğini ve potansiyel sıfır gün istismarına işaret ettiğini gösterdi.
Black Basta’nın Ayrıcalık Yükseltme Hatası İstismarı
Symantec ekibi olası sıfır gün istismarını ilk olarak, CVE-2024-26169’a yönelik bir istismar aracının kullanıldığı yakın tarihli bir fidye yazılımı saldırısı girişimini araştırırken ortaya çıkardı. Symantec, “Saldırganlar bu saldırıda fidye yazılımı yükünü dağıtmayı başaramasa da, kullanılan taktikler, teknikler ve prosedürler (TTP’ler), Black Basta etkinliğini ayrıntılarıyla anlatan yakın tarihli bir Microsoft raporunda açıklananlara oldukça benziyordu” dedi.
Araştırmacılar, bu TTP’lerin yazılım güncellemeleri olarak gizlenen toplu komut dosyalarının kullanımını içerdiğini ekledi.
Black Basta Exploit Aracı Analizi
Bu istismar aracı, “werkernel.sys” Windows dosyasının kayıt defteri anahtarları oluşturmak için boş bir güvenlik tanımlayıcısı kullandığı bir kusurdan yararlanıyor. Araç, bir “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe” kayıt defteri anahtarı oluşturarak ve “Hata Ayıklayıcı” değerini kendi yürütülebilir yol adına ayarlayarak bundan yararlanır. Symantec, bunun saldırganın yönetici ayrıcalıklarına sahip bir kabuk başlatmasına olanak tanıdığını açıkladı.
Analiz edilen aracın iki çeşidi:
- Varyant 1 (SHA256: 4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63): Güvenlik açığı yamalanmadan önce 27 Şubat’ta derlendi.
- Varyant 2 (SHA256: b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0): 18 Aralık 2023’te, yani resmi bir düzeltmenin yayınlanmasından yaklaşık üç ay önce derlendi.
Yürütülebilir dosyalardaki zaman damgası değerleri değiştirilebilirken, bu durumda saldırganların bunları değiştirmek için muhtemelen çok az motivasyonu vardı, bu da gerçek yama öncesi derlemeyi akla getiriyor.
Uzlaşma Göstergeleri
Symantec aşağıdaki IoC’leri paylaştı:
4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63 – Yararlanma aracı
b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0 – Yararlanma aracı
a31e075bd5a2652917f91714fea4d272816c028d7734b36c84899cd583181b3d – Toplu komut dosyası
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d – Toplu komut dosyası
2408be22f6184cdccec7a34e2e79711ff4957e42f1ed7b7ad63f914d37dba625 – Toplu komut dosyası
b0903921e666ca3ffd45100a38c11d7e5c53ab38646715eafc6d1851ad41b92e – ScreenConnect
Black Basta Fidye Yazılımı Hakkında
Windows ayrıcalık yükseltme hatasından yararlanmaya yönelik en son girişimler, Microsoft’un, Black Basta fidye yazılımı operatörlerinin, kullanıcının Windows veya macOS aygıtını uzaktan bağlantı üzerinden başka bir kişiyle paylaşmasına olanak tanıyan Hızlı Yardım uygulamasını kötüye kullandığına ilişkin ayrıntıları açıklamasından bir ay sonra gerçekleşti.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, Mayıs ayında yayınlanan bir danışma belgesinde, Black Basta’nın bağlı kuruluşlarının, Nisan 2022’deki lansmanından bu yana Kuzey Amerika, Avrupa ve Avustralya’daki sağlık kuruluşları da dahil olmak üzere 500’den fazla özel sektörü ve kritik altyapı kuruluşunu hedef aldığını söyledi. .
Blockchain analiz firması Elliptic’in yaptığı bir analiz, Black Basta’nın 2022’nin başından bu yana en az 107 milyon dolar fidye ödemesi biriktirdiğini ve 90’dan fazla kurbanı hedef aldığını gösteriyor. Alınan en büyük fidye ödemesi 9 milyon dolardı ve fidyelerden en az 18’inin her biri 1 milyon doları aştı. Ortalama fidye ödemesi 1,2 milyon dolardı.