กลุ่ม Black Basta ransomware กำลังโจมตีช่องโหว่ Zero-Day บน Windows

นักวิจัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows

CVE-2024-26169 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024

โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta

Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows

การโจมตีช่องโหว่ CVE-2024-26169

Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot

นักวิจัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้

สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.sys ในส่วน security descriptor ที่มีค่า null เมื่อสร้าง registry keys

โดย exploit tool จะสร้าง registry keys (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) และตั้งค่า "Debugger" ให้เป็น pathname ที่เรียกทำงานได้ด้วยตัวเอง ทำให้สามารถเปิด shell ด้วยสิทธิ์ SYSTEM ของระบบ

การค้นพบ exploit tool ของ Symantec ถูกพบตั้งแต่วันที่ 27 กุมภาพันธ์ 2024 ในขณะที่อีกตัวอย่างถูกพบก่อนหน้านี้ในวันที่ 18 ธันวาคม 2023 หมายความว่าการโจมตีช่องโหว่ Zero-Day ดังกล่าวถูกใช้งานมามากกว่า 85 วันก่อนที่ Microsoft จะเปิดเผยช่องโหว่ดังกล่าว

ในเดือนพฤษภาคม 2024 ทาง CISA และ FBI ได้แจ้งเตือนถึงการโจมตีของกลุ่ม Black Basta กว่า 500 ครั้งนับตั้งแต่เดือนเมษายน 2022 รวมถึงได้มีคำแนะนำการป้องกันโจมตีจากกลุ่ม Black Basta ผู้ดูแลระบบควรอัปเดตความปลอดภัยของ Windows อย่างสม่ำเสมอ และปฏิบัติตามแนวทางด้านความปลอดภัยของ CISA

ที่มา : BLEEPINGCOMPUTER