Black Basta fidye yazılımını çalıştıran Cardinal siber suç grubu (diğer adıyla Storm-1811, UNC4393), yakın zamanda yamalı bir Windows ayrıcalık yükseltme güvenlik açığından sıfır gün olarak yararlanıyor olabilir.
Güvenlik açığı (CVE-2024-26169), Windows Hata Bildirim Hizmeti’nde ortaya çıkıyor.
Saldırgan, etkilenen sistemlerde istismar edilirse ayrıcalıklarını yükseltebilir.
Güvenlik açığı 12 Mart 2024’te yamalandı ve o sırada Microsoft, bu güvenlik açığının vahşi ortamda kullanıldığına dair hiçbir kanıt bulunmadığını söyledi.
Bununla birlikte, son saldırılarda kullanılan bir yararlanma aracının analizi, bunun yama uygulanmadan önce derlenmiş olabileceğine dair kanıtlar ortaya çıkardı; bu da en az bir grubun bu güvenlik açığından sıfır gün olarak yararlanmış olabileceği anlamına geliyor.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Siyah Basta Bağlantısı
Bu istismar aracı, yakın zamanda Symantec’in Tehdit Avcısı Ekibi tarafından araştırılan bir fidye yazılımı saldırısı girişiminde kullanıldı.
Saldırganlar bu saldırıda fidye yazılımı yükünü dağıtmayı başaramasa da taktikler, teknikler ve prosedürler (TTP’ler), Black Basta etkinliğini ayrıntılarıyla anlatan yakın tarihli bir Microsoft raporunda açıklananlara oldukça benziyordu.
Bunlar arasında, yazılım güncellemeleri gibi görünen toplu komut dosyalarının kullanımı da vardı.
Hiçbir yük konuşlandırılmamış olmasına rağmen, TTP’lerdeki benzerlikler bunun başarısız bir Black Basta saldırısı olma ihtimalini yüksek kılıyor.
Yararlanma aracının analizi, werkernel.sys Windows dosyasının kayıt defteri anahtarlarını oluştururken boş bir güvenlik tanımlayıcısı kullanması gerçeğinden yararlandığını ortaya çıkardı.
Ana anahtarın alt anahtarlar için bir “Oluşturucu Sahibi” erişim kontrolü girişi (ACE) olduğundan, mevcut sürecin kullanıcıları tüm alt anahtarların sahibi olacaktır.
Bu istismar, yürütülebilir yol adı olarak “Hata Ayıklayıcı” değerini ayarladığı bir “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe” kayıt defteri anahtarı oluşturmak için bundan yararlanır.
Bu, istismarın yönetici ayrıcalıklarına sahip bir kabuk başlatmasına olanak tanır.
Bu saldırıda kullanılan aracın çeşidi (SHA256: 4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63), güvenlik açığının kapatılmasından birkaç hafta önce, 27 Şubat 2024 tarihli bir derleme zaman damgasına sahipti.
Aracın Virus Total’de keşfedilen ikinci bir çeşidi (SHA256: b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0) 18 Aralık 2023 tarihli daha eski bir derleme zaman damgasına sahipti.
Taşınabilir yürütülebilir dosyalardaki zaman damgası değerleri ayarlanabilir; bu, zaman damgasının, saldırganların bu açıktan yararlanmayı sıfır gün olarak kullandığına dair kesin bir kanıt olmadığı anlamına gelir.
Ancak bu durumda saldırganların zaman damgasını daha erken bir tarihe değiştirme motivasyonu çok az görünüyor.
Cardinal, Black Basta’yı Nisan 2022’de tanıttı ve fidye yazılımı, başlangıcından bu yana, birincil enfeksiyon vektörü gibi görünen Qakbot botnet’iyle yakından ilişkiliydi.
Qakbot, kolluk kuvvetlerinin müdahalesinin ardından Ağustos 2023’te kaldırılıncaya kadar dünyanın en üretken kötü amaçlı yazılım dağıtım botnet’lerinden biriydi.
Ancak, kaldırma işlemi Black Basta aktivitesinde bir düşüşe yol açarken, Cardinal o zamandan beri saldırılara yeniden başladı ve şimdi potansiyel kurbanlara erişim sağlamak için DarkGate yükleyici operatörleriyle birlikte çalışmaya başlamış gibi görünüyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs:
Try Free Demo