🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND Huyện Phú Hoà, tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Mường Chà đã đăng ký tín nhiệm. 🔥                    🔥 Github đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Lỗ hổng zero-day trong Microsoft Windows có thể đã bị tin tặc khai thác trong chiến dịch Ransomware Black Basta

14/06/2024

Theo phát hiện gần đây từ Symantec, các tác nhân đe dọa liên quan đến ransomware Black Basta có thể đã khai thác lỗ hổng leo thang đặc quyền được tiết lộ gần đây trong Dịch vụ báo cáo lỗi Windows dưới dạng zero-day.

Lỗ hổng được đề cập có định danh CVE-2024-26169 (điểm CVSS: 7,8), đã được Microsoft vá vào tháng 3 năm 20240, là một lỗi leo thang đặc quyền trong Dịch vụ báo cáo lỗi Windows có thể bị khai thác để giành được các đặc quyền SYSTEM.

Nhóm Symantec Threat Hunter cho biết: “Phân tích một công cụ khai thác được triển khai trong các cuộc tấn công gần đây đã tiết lộ bằng chứng cho thấy lỗ hổng có thể đã bị lạm dụng trước khi được vá”.

Nhóm đe dọa có động cơ tài chính đang được công ty theo dõi dưới tên Cardinal, còn được gọi là Storm-1811 và UNC4393. Nhóm này được biết là kiếm tiền bằng cách triển khai phần mềm ransomware Black Basta, thường bằng cách tận dụng quyền truy cập ban đầu mà những kẻ tấn công khác có được để xâm phạm môi trường mục tiêu.

Trong những tháng gần đây, các nhà nghiên cứu đã quan sát thấy các tác nhân độc hại sử dụng các sản phẩm hợp pháp của Microsoft như Quick Assist và Microsoft Teams làm phương tiện tấn công để lây nhiễm cho người dùng.

Microsoft cho biết : “Tác nhân đe dọa sử dụng Teams để gửi tin nhắn và thực hiện các cuộc gọi nhằm mạo danh nhân viên CNTT hoặc bộ phận trợ giúp” . "Hoạt động này dẫn đến việc sử dụng sai mục đích Quick Assist, đánh cắp thông tin xác thực bằng EvilProxy, thực thi các tập lệnh độc hại và sử dụng SystemBC để duy trì quyền truy cập và kiểm soát tấn công."

Symantec cho biết họ quan sát thấy công cụ khai thác này đang được sử dụng như một phần của cuộc tấn công ransomware nhưng không thành công.

Công cụ này "lợi dụng thực tế là tệp Windows werkernel.sys sử dụng giá trị mô tả bảo mật (security descriptor) bằng ‘null’ khi tạo khóa registry", Symantec giải thích.

"Kẻ tấn công lợi dụng điều này để tạo khóa registry 'HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe' trong đó nó đặt giá trị 'Debugger' làm tên đường dẫn thực thi của chính nó. Điều này cho phép kẻ tấn công khai thác để khởi động một shell (tập lệnh độc hại) với các đặc quyền quản trị."

Phân tích thông tin metadata của phần mềm độc hại cho thấy nó được biên dịch vào ngày 27 tháng 2 năm 2024, vài tuần trước khi lỗ hổng được Microsoft giải quyết, trong khi một mẫu khác được phát hiện trên VirusTotal có dấu thời gian biên dịch là ngày 18 tháng 12 năm 2023.

Sự phát triển này diễn ra trong bối cảnh xuất hiện một họ ransomware mới có tên DORRA , một biến thể của phần mềm độc hại Makop , khi các cuộc tấn công ransomware tiếp tục xảy ra dưới nhiều hình thức sau khi sụt giảm vào năm 2022.

Theo Mandiant thuộc sở hữu của Google, ​​​​số bài đăng liên quan đến ransomware trên các trang web rò rỉ dữ liệu đã tăng 75%, với hơn 1,1 tỷ USD được trả cho những kẻ tấn công vào năm 2023, tăng từ 567 triệu USD vào năm 2022 và 983 triệu USD vào năm 2021.

Nguồn: thehackernews.com.

scrolltop