Bedreigingsactoren die verband houden met de Black Basta-ransomware hebben mogelijk een onlangs onthulde escalatiefout in de privilege-escalatie in de Microsoft Windows Error Reporting Service als een zero-day uitgebuit, zo blijkt uit nieuwe bevindingen van Symantec.
Het beveiligingslek in kwestie is CVE-2024-26169 (CVSS-score: 7,8), een bug met misbruik van bevoegdheden in de Windows Error Reporting Service die kan worden misbruikt om SYSTEEM-rechten te verkrijgen. Het werd in maart 2024 door Microsoft gepatcht.
“Analyse van een exploittool die bij recente aanvallen werd ingezet, bracht bewijs aan het licht dat deze vóór de patch kon zijn samengesteld, wat betekent dat ten minste één groep de kwetsbaarheid mogelijk als zero-day heeft uitgebuit”, zegt het Symantec Threat Hunter Team, onderdeel van Broadcom. zei in een rapport gedeeld met The Hacker News.
Het financieel gemotiveerde dreigingscluster wordt door het bedrijf gevolgd onder de naam Cardinal, en staat ook bekend als Storm-1811 en UNC4393.
Het is bekend dat het geld kan verdienen met toegang door de Black Basta-ransomware in te zetten, meestal door gebruik te maken van initiële toegang verkregen door andere aanvallers (in eerste instantie QakBot en vervolgens DarkGate) om doelomgevingen te doorbreken.
De afgelopen maanden is waargenomen dat de bedreigingsacteur legitieme Microsoft-producten zoals Quick Assist en Microsoft Teams gebruikt als aanvalsvectoren om gebruikers te infecteren.
“De bedreigingsacteur gebruikt Teams om berichten te verzenden en oproepen te initiëren in een poging zich voor te doen als IT- of helpdeskpersoneel”, aldus Microsoft. “Deze activiteit leidt tot misbruik van Quick Assist, gevolgd door diefstal van inloggegevens met behulp van EvilProxy, uitvoering van batchscripts en gebruik van SystemBC voor persistentie en commando en controle.”
Symantec zei dat het had waargenomen dat de exploit-tool werd gebruikt als onderdeel van een poging tot maar mislukte ransomware-aanval.
De tool “maakt gebruik van het feit dat het Windows-bestand werkernel.sys een null security descriptor gebruikt bij het maken van registersleutels”, legt het uit.
“De exploit maakt hiervan gebruik door een registersleutel 'HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe' te maken waarin de waarde 'Debugger' wordt ingesteld als zijn eigen uitvoerbare padnaam. Hierdoor kan de exploiteren om een shell met beheerdersrechten te starten.”
Metadata-analyse van het artefact laat zien dat het op 27 februari 2024 is samengesteld, enkele weken voordat het beveiligingslek door Microsoft werd verholpen, terwijl een ander monster dat op VirusTotal werd opgegraven een compilatietijdstempel had van 18 december 2023.
Hoewel bedreigingsactoren geneigd zijn de tijdstempels van bestanden en mappen op een gecompromitteerd systeem te wijzigen om hun acties te verbergen of onderzoeken te belemmeren (een techniek die timestomping wordt genoemd), wees Symantec erop dat er in dit geval waarschijnlijk maar heel weinig redenen zijn om dit te doen.
De ontwikkeling vindt plaats te midden van de opkomst van een nieuwe ransomware-familie genaamd DORRA, een variant van de Makop-malwarefamilie, aangezien ransomware-aanvallen na een dip in 2022 nog steeds een soort heropleving kennen.
Volgens Mandiant, eigendom van Google, was de ransomware-epidemie getuige van een toename van 75% in het aantal berichten op sites met datalekken, waarbij in 2023 ruim 1,1 miljard dollar aan aanvallers werd betaald, vergeleken met 567 miljoen dollar in 2022 en 983 miljoen dollar in 2021.
“Dit illustreert dat de lichte daling van de afpersingsactiviteit die in 2022 werd waargenomen een anomalie was, mogelijk als gevolg van factoren zoals de invasie van Oekraïne en de gelekte Conti-chats”, aldus het bedrijf.
“De huidige heropleving van afpersingsactiviteiten wordt waarschijnlijk veroorzaakt door verschillende factoren, waaronder de hervestiging van het cybercriminele ecosysteem na een tumultueus jaar in 2022, nieuwkomers en nieuwe partnerschappen en aanbiedingen van ransomware-diensten door actoren die eerder geassocieerd waren met productieve groepen die ontwricht waren. .”
