بر اساس یافتههای جدید Symantec ، عوامل تهدید مرتبط با باجافزار Black Basta[1] ممکن است از نقص افزایش امتیاز اخیر افشا شده در سرویس گزارش خطای ویندوز مایکروسافت بهعنوان روز صفر استفاده کرده باشند.
نقص امنیتی موردبحث CVE-2024-26169 (امتیاز ۸/۷ در مقیاس CVSS) است[۲]، یک اشکال بالابردن سطح دسترسی در سرویس گزارش خطای ویندوز که می تواند برای دستیابی به امتیازات سیستم مورد بهرهبرداری قرار گیرد که در مارس ۲۰۲۴ توسط مایکروسافت وصله شد[۳].
تیم Symantec Threat Hunter، بخشی از Broadcom، در گزارشی که با The Hacker News به اشتراک گذاشته شده است، میگوید[۴]: «تحلیل ابزار بهرهبرداری که در حملات اخیر مستقر شده بود، شواهدی را نشان داد که میتوانست قبل از وصلهسازی کامپایل شده باشد، به این معنی که حداقل یک گروه ممکن است از این آسیبپذیری بهعنوان یک آسیبپذیری روز صفر بهرهبرداری کرده باشد.»
خوشه تهدید با انگیزه مالی توسط این شرکت با نام Cardinal ردیابی میشود. همچنین توسط جامعه امنیت سایبری تحت نامهای Storm-1811[5] و UNC4393[6] نظارت میشود.
شناخته شده است که با استقرار باجافزار Black Basta از دسترسی کسب درآمد میکند، معمولاً با استفاده از دسترسی اولیه بهدستآمده توسط مهاجمان دیگر – در ابتدا QakBot و سپس DarkGate – برای نفوذ به محیطهای هدف.
در ماههای اخیر، این عامل تهدید با استفاده از محصولات قانونی مایکروسافت مانند Quick Assist و Microsoft Teams بهعنوان بردارهای حمله برای آلودهکردن کاربران مشاهده شده است.
مایکروسافت گفت[۷]: «بازیگر تهدید از Teams برای ارسال پیام و برقراری تماسها در تلاش برای جعل هویت کارکنان فناوری اطلاعات یا میز کمک استفاده میکند. این فعالیت منجر به سوءاستفاده از Quick Assist و به دنبال آن سرقت اعتبار با استفاده از EvilProxy، اجرای اسکریپتهای دستهای و استفاده از SystemBC برای تداوم و فرمان و کنترل میشود.»
Symantec گفت که مشاهده کرده است که از ابزار بهرهبردار بهعنوان بخشی از یک حمله باجافزاری تلاش شده اما ناموفق استفاده میشود.
این برنامه مخرب “از این واقعیت استفاده میکند که فایل ویندوز werkernel.sys از یک توصیفگر امنیتی تهی هنگام ایجاد کلیدهای رجیستری استفاده میکند.”
بهرهبردار از این مزیت برای ایجاد یک کلید رجیستری “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe” استفاده میکند که در آن مقدار “Debugger” را بهعنوان نام مسیر اجرایی خود تنظیم میکند. این به بهرهبردار اجازه میدهد تا یک shell را با امتیازات مدیریتی راهاندازی کند.
تجزیهوتحلیل ابرداده این آرتیفکت نشان میدهد که در ۲۷ فوریه ۲۰۲۴، چند هفته قبل از رفع این آسیبپذیری توسط مایکروسافت، گردآوری شده است، در حالی که نمونه دیگری که در VirusTotal کشف شد، دارای مهر زمانی تلفیقی ۱۸ دسامبر ۲۰۲۳ بود.
درحالیکه عوامل تهدید مستعد تغییر مُهرهای زمانی فایلها و دایرکتوریها در یک سیستم در معرض خطر هستند تا اقدامات خود را مخفی کنند یا مانع از تحقیقات شوند – تکنیکی که به آن زمانسنجی[۸] میگویند – Symantec اشاره کرد که احتمالاً دلایل بسیار کمی برای انجام این کار در این مورد وجود دارد.
هنگامی که برای اظهارنظر تماس گرفته شد، سخنگوی مایکروسافت به Hacker News گفت: “این مشکل در ماه مارس بررسی شد و مشتریانی که این اصلاح را اعمال میکنند محافظت میشوند. نرمافزار امنیتی ما همچنین شامل تشخیصهایی برای محافظت در برابر این بدافزار است.”
این توسعه در بحبوحه ظهور یک خانواده باجافزار جدید به نام DORRA[9] انجام میشود که گونهای از خانواده بدافزار [۱۰]Makop است، زیرا حملات باجافزاری پس از سقوط در سال ۲۰۲۲ به نوعی احیا میشوند[۱۱].
طبق گفته Mandiant متعلق به گوگل، اپیدمی باجافزار شاهد افزایش ۷۵ درصدی پستها در سایتهای نشت داده بود، با بیش از ۱.۱ میلیارد دلار پرداخت به مهاجمان در سال [۱۲]۲۰۲۳، از ۵۶۷ میلیون دلار در سال ۲۰۲۲ و ۹۸۳ میلیون دلار در سال ۲۰۲۱.
این شرکت گفت[۱۳]: “این نشان میدهد که کاهش جزئی در فعالیت اخاذی مشاهده شده در سال ۲۰۲۲ یک ناهنجاری بود که احتمالاً به دلیل عواملی مانند حمله به اوکراین و چت های Conti درز کرده است.”
احیای فعلی فعالیتهای اخاذی احتمالاً ناشی از عوامل مختلفی است، از جمله اسکان مجدد اکوسیستم مجرمان سایبری پس از سال پرفرازونشیب در سال ۲۰۲۲، تازه واردان، و مشارکتهای جدید و ارائه خدمات باجافزار توسط بازیگرانی که قبلاً با گروههای پرکار در ارتباط بودهاند و مختل شدهاند.
منابع
[۱] https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html
[۲] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169
[۳] https://apa.aut.ac.ir/?p=10360
[۴] https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day
[۵] https://thehackernews.com/2024/05/cybercriminals-exploiting-microsofts.html
[۶] https://cloud.google.com/blog/topics/threat-intelligence/detecting-disrupting-malvertising-backdoors
[۷] https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware
[۸] https://attack.mitre.org/techniques/T1070/006
[۹] https://www.broadcom.com/support/security-center/protection-bulletin/dorra-ransomware
[۱۰] https://thehackernews.com/2021/10/cisa-issues-warning-on-cyber-threats.html
[۱۱] https://www.wired.com/story/state-of-ransomware-2024
[۱۲] https://www.chainalysis.com/blog/ransomware-2024
ثبت ديدگاه