Ranjivost u Windowsu za koju je Microsoft tvrdio da nije korišćena u napadima, korišćena za napade ransomwarea Black Basta

Vesti, 13.06.2024, 13:30 PM

Grupa koja stoji iza ransomwarea Black Basta možda je iskoristila nedavno zakrpljenu ranjivost Windowsa kao nulti dan, otkrili su istraživači iz kompanije Symantec.

Ranjivost praćena kao CVE-2024-26169 u funkciji Windows Error Reporting Service otkrivena je u martu. Ova funkcija Windowsa pomaže Microsoftu da identifikuje i reši probleme sa operativnim sistemom i drugim softverom.

Ranjivost CVE-2024-26169 mogla bi omogućiti napadačima da preuzmu kontrolu nad celim sistemom. Ranjivost je zakrpljena 12. marta, a Microsoft je tada rekao da nema dokaza da je korišćena u napadima.

Međutim, Symantecova analiza alata za eksploataciju korišćenog u nedavnim napadima otkrila je da se to moglo dogoditi pre objavljivanja zakrpe, što znači da je bar jedna grupa možda iskorišćavala ranjivost kao nulti dan.

Isti alat za eksploataciju je korišćen u nedavnom pokušaju napada ransomwarea, sličnom onima opisanim u Microsoftovom izveštaju koji detaljno opisuje aktivnost ransomwarea Black Basta. Grupa hakera koja je upravljala ransomwareom, poznata kao Cardinal ili Storm-1811, nije uspela da instalira ransomware u napadu, rekli su istraživači.

Cardinal je predstavio Black Basta u aprilu 2022. godine, a od svog početka ransomware je bio blisko povezan sa Qakbot botnetom, koji je izgledao kao njegov primarni vektor infekcije.

Qakbot je bio jedan od najviše korišćenih botneta za distribuciju malvera na svetu sve dok nije uklonjen u avgustu 2023. godine, što je dovelo do pada aktivnosti ransomwarea Black Basta. Cardinal je od tada nastavio sa napadima i sada se čini da je prešao na rad sa operaterima DarkGate loadera kako bi dobio pristup potencijalnim žrtvama, navodi Symantec u izveštaju.

Foto: Clint Patterson | Unsplash