新的证据表明,Black Basta 勒索软件团伙可能在修补之前就利用了 Windows 权限提升漏洞作为零日漏洞。
赛门铁克研究人员透露了详细信息,表明与 Cardinal 网络犯罪集团有关的 Black Basta 勒索软件组织(也称为 Storm-1811 或 UNC4393)可能在3 月补丁星期二修复之前利用了 Windows 错误报告服务中的零日漏洞。
该漏洞编号为CVE-2024-26169,存在于 Windows 错误报告服务中。微软在修补时表示:“成功利用此漏洞的攻击者可以获得系统权限。”
这家总部位于雷德蒙德的科技巨头当时报告称,没有证据表明该漏洞已被广泛利用。然而,对最近攻击中使用的漏洞利用工具的分析表明,该工具可能是在官方补丁发布前几个月编写的,这表明可能存在零日漏洞利用。
Black Basta 的权限提升漏洞利用
赛门铁克团队在调查最近的一次勒索软件攻击尝试时首次发现了可能的零日漏洞,该攻击使用了 CVE-2024-26169 的漏洞利用工具。赛门铁克表示:“尽管攻击者未能成功在这次攻击中部署勒索软件负载,但所使用的策略、技术和程序 (TTP) 与最近一份详细介绍 Black Basta 活动的微软报告中描述的非常相似。”
研究人员补充说,这些 TTP 包括使用伪装成软件更新的批处理脚本。
Black Basta 漏洞工具分析
该漏洞利用工具利用了 Windows 文件“werkernel.sys”使用空安全描述符创建注册表项的漏洞。该工具通过创建“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe”注册表项来利用此漏洞,并将其“Debugger”值设置为其自己的可执行路径名。赛门铁克解释说,这允许攻击者以管理权限启动 shell。
分析了该工具的两个变体:
- 变体 1(SHA256:4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63):于 2 月 27 日编译,即在漏洞修补之前。
- 变体 2(SHA256:b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0):编译于 2023 年 12 月 18 日,距离官方修复发布早了近三个月。
虽然可执行文件中的时间戳值可以被修改,但在这种情况下,攻击者可能没有什么动机去改变它们,这表明存在真正的补丁前编译。
攻击指标
赛门铁克分享了以下 IoC:
4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63 – 漏洞利用工具
b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0 – 漏洞利用工具
a31e075bd5a2652917f91714fea4d272816c028d7734b36c84899cd583181b3d – 批处理脚本
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d – 批处理脚本
2408be22f6184cdccec7a34e2e79711ff4957e42f1ed7b7ad63f914d37dba625 – 批处理脚本
b0903921e666ca3ffd45100a38c11d7e5c53ab38646715eafc6d1851ad41b92e – ScreenConnect
关于 Black Basta 勒索软件
一个月前,微软披露了Black Basta 勒索软件运营商滥用其快速助手应用程序的详细信息,该应用程序允许用户通过远程连接与他人共享他们的 Windows 或 macOS 设备,而此次攻击正是利用 Windows 特权提升漏洞进行的。
美国网络安全和基础设施安全局 (CISA) 和联邦调查局在 5 月份的一份咨询报告中表示,自 2022 年 4 月推出以来,Black Basta 的附属机构已将目标锁定在北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体,包括医疗保健组织。
区块链分析公司Elliptic的分析显示,自 2022 年初以来,Black Basta 已累计支付至少 1.07 亿美元的赎金,目标超过 90 名受害者。收到的最大赎金为 900 万美元,其中至少有 18 笔赎金超过 100 万美元。平均赎金为 120 万美元。
发表评论
您还未登录,请先登录。
登录