ນັກວິໄຈຂອງ Symantec ບໍລິສັດດ້ານຄວາມປອດໄພ ທາງໄຊເບີ ລາຍງານວ່າກຸ່ມ Black Basta ransomware ມີຄວາມກ່ຽວຂ້ອງກັບການໂຈມຕີຊ່ອງໂຫວ່ Zero-Day ຊຶ່ງເປັນຊ່ອງໂຫວ່ການຍົກລະດັບສິດເທິງ Windows.
CVE-2024-26169 (ຄະແນນ CVSS 7.8/10 ຄວາມຮຸນແຮງລະດັບ High) ເປັນຊ່ອງໂຫວ່ໃນ Windows Error Reporting Service ທີ່ເຮັດໃຫ້ Hacker ສາມາດຍົກລະດັບສິດເປັນ SYSTEM ໄດ້ ໂດຍຊ່ອງໂຫວ່ນີ້ ໄດ້ຖືກແກ້ໄຂໄປແລ້ວໃນ Patch Tuesday update ປະຈຳເດືອນ ມີນາ 2024.
Black Basta ເປັນກຸ່ມ ransomware ທີ່ມີການພົວພັນກັບກຸ່ມ Conti ransomware ທີ່ປິດໂຕລົງໄປກ່ອນໜ້ານີ້ ຊຶ່ງການໂຈມຕີ ສະແດງໃຫ້ເຫັນເຖິງຄວາມຊ່ຽວຊານໃນການໂຈມຕີໂດຍໃຊ້ Windows tools ແລະຄວາມເຂົ້າໃຈເຊີງເລິກ ກ່ຽວກັບ Windows.
ການໂຈມຕີຊ່ອງໂຫວ່ CVE-2024-26169
Symantec ກວດສອບການໂຈມຕີດ້ວຍແຣນຊຳແວ ໂດຍໃຊ້ exploit tool ສຳລັບ CVE-2024-26169 ຫຼັງຈາກການໂຈມຕີຄັ້ງທຳອິດກໍຈະທຳການຕິດຕັ້ງ DarkGate loader ຊຶ່ງທາງ Black Basta ໄດ້ນຳມາໃຊ້ງານແທນທີ່ QakBot.
ນັກວິໄຈເຊື່ອວ່າ ຜູ້ໂຈມຕີຊ່ອງໂຫວ່ມີຄວາມຕິດພັນກັບກຸ່ມ Black Basta ເພາະພົບການໃຊ້ສະຄຣິບ (Script) ທີ່ປອມແປງເປັນ software updates ທີ່ອອກແບບມາ ເພື່ອຮຽກໃຊ້ຄຳສັ່ງທີ່ເປັນອັນຕະລາຍ ແລະ ຝັງຕົວຢູ່ໃນລະບົບ ທີ່ຖືກໂຈມຕີ ຊຶ່ງເປັນກົນລະຍຸດທົ່ວໄປສຳລັບກຸ່ມນີ້.
ສາມາດກວດສອບການໃຊ້ exploit tool ໄດ້ໂດຍການກວດສອບຈາກ Windows file werkernel.sys ໃນສ່ວນ security descriptor ທີ່ມີຄ່າ null ເມື່ອສ້າງ registry keys.
ໂດຍ exploit tool ຈະສ້າງ registry keys (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) ແລະ ຕັ້ງຄ່າ “Debugger” ໃຫ້ເປັນ pathname ທີ່ຮຽກເຮັດວຽກໄດ້ດ້ວຍຕົວເອງ ເຮັດໃຫ້ສາມາດເປີດ shell ດ້ວຍສິດ SYSTEM ຂອງລະບົບ.
ໃນເດືອນພຶດສະພາ 2024 ທາງ CISA ແລະ FBI ໄດ້ແຈ້ງເຕືອນເຖິງການໂຈມຕີຂອງກຸ່ມ Black Basta ຫຼາຍກວ່າ 500 ຄັ້ງ ນັບຕັ້ງແຕ່ເດືອນເມສາ 2022 ລວມເຖິງໄດ້ມີຄຳແນະນຳການປ້ອງກັນໂຈມຕີຈາກກຸ່ມ Black Basta ຜູ້ເບິ່ງແຍງລະບົບຄວນປັບປຸງຄວາມປອດໄພ ຂອງ Windows ຢ່າງສະຫມ່ຳສະເໝີ ແລະ ປະຕິບັດຕາມແນວທາງດ້ານຄວາມປອດໄພ ຂອງ CISA.
ທີ່ມາ : https://www.bleepingcomputer.com/news/security/black-basta-ransomware-gang-linked-to-windows-zero-day-attacks/