Ünlü Black Basta fidye yazılımı grubunun, Microsoft bir düzeltme yayınlamadan önce sıfır gün istismarı olarak yüksek önem dereceli Windows ayrıcalık yükseltme güvenlik açığından (CVE-2024-26169) yararlandığına inanılıyor.
Windows Hata Raporlama Hizmeti’ndeki bu kritik güvenlik açığı, tehdit aktörlerinin SİSTEM düzeyinde ayrıcalıklar kazanmasına olanak tanıyarak, virüslü sistemler üzerindeki kontrollerini önemli ölçüde artırdı.
Microsoft, 12 Mart 2024’teki düzenli Yama Salı güncellemeleriyle bu sorunu giderdi. Satıcının bu güvenlik açığından aktif olarak yararlanılmadığını iddia etmesine rağmen, Symantec’in Çarşamba günü yayınlanmadan önce Hackread.com ile paylaştığı yeni bir rapor, Storm-1811 ve UNC4394 olarak da bilinen Cardinal siber suç grubunun ve bu Black Basta çetesi, CVE-2024-26169’u aktif olarak kullanıyor.
Symantec’teki Tehdit Avcısı Ekibi’ne göre, güvenlik açığından sıfır gün istismarı olarak yararlanıldığına dair güçlü kanıtlar var. “Sıfır gün” terimi, bir güvenlik açığının kamuya açıklanmadan veya yamalanmadan önce kullanılmasını ifade eder ve saldırganlara önemli bir avantaj sağlar.
Symantec, QakBot’un kaldırılmasından bu yana Black Basta tarafından sıklıkla kullanılan bir kötü amaçlı yazılım olan DarkGate yükleyicisinin ilk bulaşmasından sonra CVE-2024-26169’a yönelik bir yararlanma aracının kullanıldığı bir fidye yazılımı saldırısı girişimini inceledi.
Saldırganlar, Black Basta grubunun kendine özgü bir taktiği olan, kötü amaçlı komutları yürütmek ve güvenliği ihlal edilmiş sistemlerde kalıcılığı sürdürmek için yazılım güncellemeleri olarak gizlenen toplu komut dosyaları kullandı.
Qualys Tehdit Araştırma Birimi Siber Tehdit Direktörü Ken Dunham’a göre: “Black Basta diğer fidye yazılımı tehditleri kadar yaygın olarak tanınmasa da dünya çapında ilk on arasında yer alıyor.“
“Grup, 2023’te hassas kimlik bilgilerini ve IP adreslerini açıklayarak kurbanlar üzerindeki baskıyı artırdı ve fidye talepleri karşılanmadığı sürece daha fazla saldırı yapılmasına olanak sağladı. Bu agresif taktikler, Black Basta’nın yaygınlığıyla birleştiğinde, şu anda grup tarafından hedeflenen CVE-2024-26169’un öncelikli yamasına olan ihtiyacın altını çiziyor.“ Ken vurguladı.
Bununla birlikte, bu son bulgu, Black Basta fidye yazılımı çetesi gibi ortaya çıkan tehditlere karşı koruma sağlamak için güvenlik yamalarını güncel tutmanın ve uygun siber güvenlik önlemlerini sürdürmenin önemini daha da vurguluyor.
İLGİLİ KONULAR
- Windows Defender Kusuru Phemedrone Stealer Tarafından İstismar Edildi
- Kritik Yeni Outlook RCE Güvenlik Açığı Önizleme Bölmesini İstismar Ediyor
- MS Office’te 0 Günlük 7 Yaşındaki Çocuk, Kobalt Saldırısını Düşürmek İçin İstismar Edildi
- Palo Alto Yamaları 0 Günlük (CVE-2024-3400) Arka Kapı Tarafından İstismar Edildi
- MS Outlook Güvenlik Açığı Rus Orman Blizzard Grubu Tarafından İstismar Edildi