ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการที่มีการใช้ช่องโหว่แบบ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows โดยที่ช่องโหว่นี้มีเลข CVE เป็น
- CVE-2024-26169 (คะแนนความรุนแรง CVSS 7.8/10 ระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024
โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta
Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows
การโจมตีช่องโหว่ CVE-2024-26169
Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot
ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้
สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.sys ในส่วน security descriptor ที่มีค่า null เมื่อสร้าง registry keys โดย exploit tool จะสร้าง registry keys (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) และตั้งค่า "Debugger" ให้เป็น pathname ที่เรียกทำงานได้ด้วยตัวเอง ทำให้สามารถเปิด shell ด้วยสิทธิ์ SYSTEM ของระบบ
การค้นพบ exploit tool ของ Symantec ถูกพบตั้งแต่วันที่ 27 กุมภาพันธ์ 2024 ในขณะที่อีกตัวอย่างถูกพบก่อนหน้านี้ในวันที่ 18 ธันวาคม 2023 หมายความว่าการโจมตีช่องโหว่ Zero-Day ดังกล่าวถูกใช้งานมามากกว่า 85 วันก่อนที่ Microsoft จะเปิดเผยช่องโหว่ดังกล่าว
ในเดือนพฤษภาคม 2024 ทาง CISA และ FBI ได้แจ้งเตือนถึงการโจมตีของกลุ่ม Black Basta กว่า 500 ครั้งนับตั้งแต่เดือนเมษายน 2022 รวมถึงได้มีคำแนะนำการป้องกันโจมตีจากกลุ่ม Black Basta ผู้ดูแลระบบควรอัปเดตความปลอดภัยของ Windows อย่างสม่ำเสมอ และปฏิบัติตามแนวทางด้านความปลอดภัยของ CISA
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น