BlackBasta Ransomware có thể khai thác lỗ hổng Zero-day của Microsoft Windows
Theo phát hiện mới từ Symantec, các tác nhân đe dọa liên quan đến ransomware Black Basta có thể đã khai thác lỗ hổng leo thang đặc quyền được tiết lộ gần đây trong Dịch vụ báo lỗi Windows dưới dạng zero-day
Lỗ hổng bảo mật được đề cập là CVE-2024-26169 (điểm CVSS: 7,8), một lỗi nâng cao đặc quyền trong Dịch vụ báo cáo lỗi Windows có thể bị khai thác để đạt được các đặc quyền SYSTEM.
Symantec Threat Hunter cho biết: “Phân tích một công cụ khai thác được triển khai trong các cuộc tấn công gần đây đã tiết lộ bằng chứng cho thấy lỗ hổng có thể đã được biên soạn trước khi vá, nghĩa là có ít nhất một nhóm đã khai thác lỗ hổng này dưới dạng zero-day”
Nhóm đe dọa có động cơ tài chính đang được tổ chức theo dõi dưới tên Cardinal, còn được biết đến với tên Storm-1811 và UNC4393. Nhóm này được biết là kiếm tiền bằng cách triển khai phần mềm ransomware Black Basta, thường bằng cách tận dụng quyền truy cập ban đầu mà những kẻ tấn công khác có được (ban đầu là QakBot và sau đó là DarkGate) để xâm phạm môi trường mục tiêu.
Thời gian gần đây, các nhà nghiên cứu đã quan sát thấy những kẻ tấn công sử dụng các sản phẩm của Microsoft như Quick Assist và Microsoft Teams làm phương tiện tấn công lây nhiễm cho người dùng.
Microsoft cho biết: “Tác nhân đe dọa sử dụng Teams để gửi tin nhắn và thực hiện các cuộc gọi nhằm mạo danh nhân viên CNTT hoặc bộ phận trợ giúp … Hoạt động này dẫn đến việc sử dụng sai mục đích Quick Assist, sau đó là đánh cắp thông tin xác thực bằng EvilProxy, thực thi hàng loạt các tập lệnh độc hại và sử dụng SystemBC để duy trì quyền truy cập và kiểm soát tấn công.”
Symantec cho biết họ quan sát thấy công cụ khai thác này đang được sử dụng như một phần của cuộc tấn công bằng ransomware nhưng không thành công. Họ giải thích cho điều này rằng : Công cụ trên đã lợi dụng thực tế là tệp Windows werkernel.sys sử dụng bộ mô tả bảo mật (security descriptor) bằng “null” khi tạo khóa registry.
“Kẻ tấn công lợi dụng điều này để tạo khóa registry ‘HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe’ trong đó nó đặt giá trị ‘Debugger’ làm tên đường dẫn thực thi của chính nó. Điều này cho phép kẻ tấn công khai thác để khởi động một shell (tập lệnh độc hại) với các đặc quyền quản trị.”
Sự phát triển này diễn ra trong bối cảnh xuất hiện một họ ransomware mới có tên DORRA, một biến thể của phần mềm độc hại Makop , khi các cuộc tấn công ransomware tiếp tục xảy ra dưới nhiều hình thức sau khi sụt giảm vào năm 2022.
Theo Mandiant thuộc sở hữu của Google, số bài đăng liên quan đến ransomware trên các trang web rò rỉ dữ liệu đã tăng 75%, với hơn 1,1 tỷ USD được trả cho những kẻ tấn công vào năm 2023, tăng từ 567 triệu USD vào năm 2022 và 983 triệu USD vào năm 2021.
Theo: thehackernews.com