Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 913
- Points
- 113
Согласно новым выводам Symantec, субъекты угроз, связанные с программой-вымогателем Black Basta, возможно, использовали недавно обнаруженную уязвимость с повышением привилегий в службе отчетов об ошибках Microsoft Windows в качестве ошибки нулевого дня.
Рассматриваемая ошибка безопасности - это CVE-2024-26169 (оценка CVSS: 7,8), ошибка с повышением привилегий в службе отчетов об ошибках Windows, которая может быть использована для получения СИСТЕМНЫХ привилегий. Она была исправлена Microsoft в марте 2024 года.
"Анализ инструмента-эксплойта, развернутого в недавних атаках, выявил доказательства того, что он мог быть скомпилирован до исправления, а это означает, что по крайней мере одна группа могла использовать уязвимость в качестве нулевого дня", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom", - говорится в сообщении Symantec Threat Hunter, входящем в состав Broadcom., которым поделился The Hacker News.
Компания отслеживает финансово мотивированный кластер угроз под именем Cardinal, который также известен как Storm-1811 и UNC4393.
Известно, что она монетизирует доступ путем развертывания программы-вымогателя Black Basta, обычно используя первоначальный доступ, полученный другими злоумышленниками – первоначально QakBot, а затем DarkGate – для взлома целевых сред.
В последние месяцы было замечено, что исполнитель угрозы использует законные продукты Microsoft, такие как Quick Assist и Microsoft Teams, в качестве векторов атаки для заражения пользователей.
"Исполнитель угрозы использует команды для отправки сообщений и инициирования звонков в попытке выдать себя за ИТ или сотрудников службы поддержки", - заявила Microsoft. "Это действие приводит к неправильному использованию Quick Assist, за которым следует кража учетных данных с использованием EvilProxy, выполнение пакетных сценариев и использование SystemBC для сохранения и командования и контроля".
Symantec заявила, что обнаружила, что инструмент-эксплойт использовался в рамках попытки, но безуспешной атаки с использованием программ-вымогателей.
Инструмент "использует тот факт, что файл Windows werkernel.sys использует нулевой дескриптор безопасности при создании разделов реестра", - поясняется в нем.
"Эксплойт использует это для создания файла 'HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \Image Execution Options\WerFault.exe', где она устанавливает значение 'Debugger' в качестве собственного пути к исполняемому файлу. Это позволяет эксплойту запускать оболочку с правами администратора."
Анализ метаданных артефакта показывает, что он был скомпилирован 27 февраля 2024 года, за несколько недель до того, как Microsoft устранила уязвимость, в то время как другой образец, обнаруженный на VirusTotal, имел временную метку компиляции 18 декабря 2023 года.
В то время как субъекты угрозы склонны изменять временные метки файлов и каталогов в взломанной системе, чтобы скрыть свои действия или затруднить расследования – метод, называемый фиксацией времени, – Symantec указала, что, вероятно, причин для этого в данном случае очень мало.
Разработка происходит на фоне появления нового семейства программ-вымогателей под названием DORRA, которое является вариантом семейства вредоносных программ Makop, поскольку атаки программ-вымогателей продолжают своего рода возрождаться после спада в 2022 году.
По данным принадлежащей Google компании Mandiant, в результате эпидемии программ-вымогателей количество сообщений на сайтах утечки данных увеличилось на 75%, при этом злоумышленникам было выплачено более 1,1 миллиарда долларов в 2023 году по сравнению с 567 миллионами долларов в 2022 году и 983 миллионами долларов в 2021 году.
"Это иллюстрирует, что небольшое снижение активности вымогательства, наблюдавшееся в 2022 году, было аномалией, потенциально из-за таких факторов, как вторжение в Украину и утечка чатов Conti", - сказали в компании.
"Нынешний всплеск активности по вымогательству, вероятно, обусловлен различными факторами, включая восстановление экосистемы киберпреступников после бурного 2022 года, новых участников, а также новых партнерских отношений и предложений услуг по вымогательству со стороны участников, ранее связанных с многочисленными группами, деятельность которых была пресечена".
Рассматриваемая ошибка безопасности - это CVE-2024-26169 (оценка CVSS: 7,8), ошибка с повышением привилегий в службе отчетов об ошибках Windows, которая может быть использована для получения СИСТЕМНЫХ привилегий. Она была исправлена Microsoft в марте 2024 года.
"Анализ инструмента-эксплойта, развернутого в недавних атаках, выявил доказательства того, что он мог быть скомпилирован до исправления, а это означает, что по крайней мере одна группа могла использовать уязвимость в качестве нулевого дня", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom", - говорится в сообщении Symantec Threat Hunter, входящем в состав Broadcom., которым поделился The Hacker News.
Компания отслеживает финансово мотивированный кластер угроз под именем Cardinal, который также известен как Storm-1811 и UNC4393.
Известно, что она монетизирует доступ путем развертывания программы-вымогателя Black Basta, обычно используя первоначальный доступ, полученный другими злоумышленниками – первоначально QakBot, а затем DarkGate – для взлома целевых сред.
В последние месяцы было замечено, что исполнитель угрозы использует законные продукты Microsoft, такие как Quick Assist и Microsoft Teams, в качестве векторов атаки для заражения пользователей.
"Исполнитель угрозы использует команды для отправки сообщений и инициирования звонков в попытке выдать себя за ИТ или сотрудников службы поддержки", - заявила Microsoft. "Это действие приводит к неправильному использованию Quick Assist, за которым следует кража учетных данных с использованием EvilProxy, выполнение пакетных сценариев и использование SystemBC для сохранения и командования и контроля".
Symantec заявила, что обнаружила, что инструмент-эксплойт использовался в рамках попытки, но безуспешной атаки с использованием программ-вымогателей.
Инструмент "использует тот факт, что файл Windows werkernel.sys использует нулевой дескриптор безопасности при создании разделов реестра", - поясняется в нем.
"Эксплойт использует это для создания файла 'HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \Image Execution Options\WerFault.exe', где она устанавливает значение 'Debugger' в качестве собственного пути к исполняемому файлу. Это позволяет эксплойту запускать оболочку с правами администратора."
Анализ метаданных артефакта показывает, что он был скомпилирован 27 февраля 2024 года, за несколько недель до того, как Microsoft устранила уязвимость, в то время как другой образец, обнаруженный на VirusTotal, имел временную метку компиляции 18 декабря 2023 года.
В то время как субъекты угрозы склонны изменять временные метки файлов и каталогов в взломанной системе, чтобы скрыть свои действия или затруднить расследования – метод, называемый фиксацией времени, – Symantec указала, что, вероятно, причин для этого в данном случае очень мало.
Разработка происходит на фоне появления нового семейства программ-вымогателей под названием DORRA, которое является вариантом семейства вредоносных программ Makop, поскольку атаки программ-вымогателей продолжают своего рода возрождаться после спада в 2022 году.
По данным принадлежащей Google компании Mandiant, в результате эпидемии программ-вымогателей количество сообщений на сайтах утечки данных увеличилось на 75%, при этом злоумышленникам было выплачено более 1,1 миллиарда долларов в 2023 году по сравнению с 567 миллионами долларов в 2022 году и 983 миллионами долларов в 2021 году.
"Это иллюстрирует, что небольшое снижение активности вымогательства, наблюдавшееся в 2022 году, было аномалией, потенциально из-за таких факторов, как вторжение в Украину и утечка чатов Conti", - сказали в компании.
"Нынешний всплеск активности по вымогательству, вероятно, обусловлен различными факторами, включая восстановление экосистемы киберпреступников после бурного 2022 года, новых участников, а также новых партнерских отношений и предложений услуг по вымогательству со стороны участников, ранее связанных с многочисленными группами, деятельность которых была пресечена".
