top of page

零日漏洞攻擊:勒索軟體攻擊者或利用特權提升漏洞進行攻擊

有證據顯示,與Black Basta有關的攻擊者在漏洞修補前已經編譯了CVE-2024-26169的漏洞利用工具。

經營Black Basta勒索軟體的Cardinal網路犯罪集團(又稱Storm-1811, UNC4393)可能利用了一個最近修補的Windows特權提升漏洞作為零日漏洞。

該漏洞(CVE-2024-26169)存在於Windows錯誤報告服務中。如果在受影響的系統上被利用,攻擊者可以提升其特權。該漏洞於2024年3月12日被修補,當時微軟表示沒有證據顯示該漏洞在野外被利用。然而,對最近攻擊中部署的漏洞利用工具的分析顯示,該工具可能在修補前已經被編譯,意味著至少有一個團體可能已經將其作為零日漏洞進行利用。


Black Basta連結

Symantec的威脅獵人團隊調查的一次最近未遂的勒索軟體攻擊中部署了該漏洞利用工具。儘管攻擊者未能在此次攻擊中部署勒索軟體負載,但其戰術、技術和程序(TTPs)與微軟最近報告中描述的Black Basta活動高度相似,包括使用批處理腳本偽裝成軟體更新。

儘管沒有部署負載,但TTPs的相似性使其極有可能是一次失敗的Black Basta攻擊。


漏洞利用工具

對該漏洞利用工具的分析顯示,它利用了Windows文件werkernel.sys在創建註冊表鍵時使用空安全描述符的事實。由於父鍵對子鍵有“創建者所有者”訪問控制項(ACE),所有子鍵將由當前進程的用戶擁有。該漏洞利用工具利用這一點創建了一個“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe”註冊表鍵,並將“Debugger”值設為其自己的可執行文件路徑名。這使得漏洞利用工具可以以管理員特權啟動一個shell。


此次攻擊中使用的變種工具(SHA256: 4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63)有一個編譯時間戳為2024年2月27日,比漏洞修補早了幾個星期。


在Virus Total上發現的第二個變種工具(SHA256: b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0)有一個更早的編譯時間戳為2023年12月18日。


可移植執行檔中的時間戳是可修改的,這意味著時間戳不是攻擊者使用該漏洞作為零日漏洞的確鑿證據。然而,在這種情況下,攻擊者更改時間戳至更早日期的動機似乎不大。


重現的威脅

Cardinal在2022年4月推出了Black Basta,從一開始,該勒索軟體就與Qakbot僵屍網絡密切相關,Qakbot似乎是其主要感染向量。


Qakbot曾是世界上最活躍的惡意軟體分發僵屍網絡之一,直到2023年8月因執法行動而被取締。然而,雖然這一取締行動導致了Black Basta活動的下降,但Cardinal自此恢復了攻擊,現在似乎已轉向與DarkGate loader的運營商合作,以獲取潛在受害者的訪問權限。


保護措施

欲獲取最新的保護更新,請訪問Symantec保護公告


入侵指標 IoC

如果IOC是惡意的且我們擁有該文件,Symantec Endpoint 端點防護產品將可檢測並阻止該文件。

4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63 – Exploit tool

b73a7e25d224778172e394426c98b86215087d815296c71a3f76f738c720c1b0 – Exploit tool

a31e075bd5a2652917f91714fea4d272816c028d7734b36c84899cd583181b3d – Batch script

3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d – Batch script

2408be22f6184cdccec7a34e2e79711ff4957e42f1ed7b7ad63f914d37dba625 – Batch script

b0903921e666ca3ffd45100a38c11d7e5c53ab38646715eafc6d1851ad41b92e – ScreenConnect

Comments

Couldn’t Load Comments
It looks like there was a technical problem. Try reconnecting or refreshing the page.
bottom of page