Güvenlik araştırmacıları, BlackByte fidye yazılımı grubunun, VMware ESXi hipervizörlerinde yakın zamanda düzeltilen bir kimlik doğrulama atlama güvenlik açığını aktif olarak kullanarak fidye yazılımı dağıttığını ve kurban ağlarına tam yönetim erişimi elde ettiğini keşfetti.
CVE-2024-37085 olarak izlenen güvenlik açığı, saldırganların Active Directory etki alanına bağlı VMware ESXi sistemlerinde kimlik doğrulamasını atlatmasına olanak tanıyor.
Bu açığı kullanarak BlackByte operatörleri kötü niyetli bir “ESX Admins” grubu oluşturabilir ve bu gruba kullanıcılar ekleyerek, otomatik olarak bu kullanıcılara ESXi hypervisor’da tam yönetici ayrıcalıkları verebilir.
Cisco Talos araştırmacıları, BlackByte’ın son saldırılarda bu güvenlik açığından yararlandığını gözlemleyerek, grubun “güvenlik korumalarını aşmak ve kendi kendini yayan, solucana dönüşebilen bir fidye yazılımı şifreleyicisi dağıtmak için güvenlik açığı olan sürücüleri sürekli olarak kullandığını” belirtti.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
İstismar Zinciri:
- İlk erişim, büyük olasılıkla kaba kuvvet saldırıları yoluyla elde edilen geçerli VPN kimlik bilgileriyle sağlanıyor.
- Saldırganlar, Etki Alanı Yöneticisi hesaplarını ele geçirerek ayrıcalıkları artırıyor.
- “ESX Admins” adında bir Active Directory grubu oluşturup, bu gruba kötü amaçlı hesaplar ekliyorlar.
- Bu, saldırganlara CVE-2024-37085 güvenlik açığı nedeniyle etki alanına katılmış ESXi hipervizörlerine tam yönetimsel erişim sağlıyor.
- Daha sonra, ağ üzerinden yayılmak için kendi kendini yayan bir mekanizma kullanan BlackByte fidye yazılımı devreye sokulur.
BlackByte fidye yazılımının son sürümü şifrelenmiş dosyalara “.blackbytent_h” uzantısını ekler. Ayrıca güvenlik kontrollerini atlatmak için Bring Your Own Vulnerable Driver (BYOVD) tekniğinin bir parçası olarak dört savunmasız sürücüyü düşürür:
- RtCore64.sys (MSI Afterburner sürücüsü)
- DBUtil_2_3.sys (Dell aygıt yazılımı güncelleme sürücüsü)
- zamguard64.sys (Zemana Anti-Malware sürücüsü)
- gdrv.sys (GIGABYTE sürücüsü)
Talos, ayrıca “C:\SystemData” dizinini oluşturur ve esas olarak bu dizin üzerinden çalışır. Tüm BlackByte kurbanları arasında bu dizinde, yürütme kilometre taşlarının virgülle ayrılmış “q”, “w” ve “b” olarak kaydedildiği bir işlem izleme günlüğü gibi görünen “MsExchangeLog1.log” adlı bir metin dosyası da dahil olmak üzere birkaç ortak dosya oluşturulur” dedi.
Özellikle fidye yazılımı ikili dosyasının, kurban ortamından çalınan kimlik bilgilerini içerdiği ve bu sayede SMB ve NTLM kullanarak kimlik doğrulaması yapıp diğer sistemlere yayıldığı görülüyor.
Microsoft araştırmacıları ayrıca Storm-0506 ve Storm-1175 dahil olmak üzere birden fazla fidye yazılımı grubunun, Akira ve Black Basta fidye yazılımı dağıtımlarına yol açan saldırılarda CVE-2024-37085’i kullandığını gözlemledi.
BlackByte, belirli bir sektöre güçlü bir şekilde odaklanmadan çok çeşitli endüstrileri hedef aldı. Kurbanları, kritik altyapı, özel şirketler ve birden fazla sektördeki hükümet kuruluşlarını kapsar.
Kuruluşlara bu güvenlik açığını gidermek için VMware ESXi sistemlerini 8.0 U3 veya sonraki sürüme yamamaları şiddetle tavsiye edilir. Yama hemen mümkün değilse, VMware belirli ESXi gelişmiş ayarlarını değiştirmeyi içeren geçici çözümler sağlamıştır.
BlackByte grubunun bu güvenlik açığını hızla benimsemesi, siber suçlular ve savunucular arasındaki devam eden silahlanma yarışını vurgulamaktadır. Fidye yazılımı taktikleri gelişmeye devam ederken, kuruluşlar uyanık kalmalı ve sanallaştırma platformları gibi kritik altyapı bileşenlerinin zamanında yamalanması ve güvenlik güçlendirmesine öncelik vermelidir.
Savunmacılar, şüpheli Active Directory grup oluşturma, ESXi ana bilgisayarlarında beklenmeyen ayrıcalık yükseltme ve tehlikeye atılmış kimlik bilgileri kullanılarak yanal hareket belirtilerini izlemelidir. Güçlü erişim kontrolleri, ağ segmentasyonu ve sağlam yedekleme stratejileri uygulamak, sanallaştırılmış ortamları hedef alan olası fidye yazılımı saldırılarının etkisini azaltmada önemli olmaya devam etmektedir.
VMware, CVE-2024-37085’i ele alan bir güvenlik güncelleştirmesi yayınladı. Burada daha fazla ayrıntı bulabilirsiniz.
- Hemen Yama Uygulaması: Yöneticiler, VMware tarafından sağlanan güvenlik yamalarını etkilenen tüm sistemlere uygulamaya öncelik vermelidir.
- Ağ Segmentasyonu: Kritik sistemleri izole edin ve VMware ESXi ve vCenter Server’ın yönetim arayüzlerine ağ erişimini sınırlayın.
- İzleme ve Kayıt: Yetkisiz erişim girişimlerini tespit etmek için güçlü izleme ve kayıt mekanizmaları uygulayın.
- Düzenli Denetimler: Sanallaştırılmış ortamın bütünlüğünü sağlamak için düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri gerçekleştirin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial