Windows Error Reporting Service の脆弱性 CVE-2024-26169:Black Basta が悪用?

Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw

2024/06/12 TheHackerNews — 先日に公開された Microsoft Windows Error Reporting Service の権限昇格の脆弱性を、Black Basta 由来と思われるランサム・アクターが、ゼロデイとして悪用した可能性があることが、Symantec の最新レポートにより判明した。Windows Error Reporting Service に存在する、権限昇格の脆弱性 CVE-2024-26169 (CVSS:7.8) の悪用に成功した攻撃者は、SYSTEM 権限を得ることが可能になる。なお、この脆弱性に対して Microsoft は、2024年3月の時点でパッチを適用している。


Broadcom の傘下の Symantec Threat Hunter Team は、The Hacker News と共有したレポートで、「最近の攻撃で使用されたエクスプロイト・ツールを分析したところ、パッチ適用前にコンパイルされた可能性があることが判明した」と述べている。

同社は、この金銭的な動機に基づく脅威群を Cardinal という名前で追跡している。ままた、この Cardinal は、Storm-1811UNC4393 としても知られている。

QakBot や DarkGate などの、他の攻撃者が獲得したイニシャル・アクセスを使用して、Cardinal は標的環境に侵入し、その後に Black Basta ランサムウェアを展開することで、アクセスを収益化することが知られている。

この脅威アクターは、ここ数カ月の間に、Quick Assist や Microsoft Teams のような正規の Microsoft 製品を、ユーザーを感染させるための攻撃ベクターとして悪用していることが確認されている。

Microsoft は、「Storm-1811 (Cardinal) は、Teams 経由でメッセージを送信し、IT 担当者やヘルプデスク担当者になりすまして通話を開始する。この活動は Quick Assist の悪用につながり、EvilProxy を使用したクレデンシャルの盗難/バッチ・スクリプトの実行/SystemBC を使用した永続化とコマンド&コントロールへとつながっていく」と説明している。

Symantec によると、このエクスプロイト・ツールは、ランサムウェア攻撃の試みの一部として使用されたが、失敗に終わったという。

同社は、「このツールは、レジストリ・キーを作成する際に、Windows のファイル werkernel.sys が NULL のセキュリティ記述子を使用するという事実を悪用している。つまり、この悪用により、”Debugger” 値を自身の実行パス名として設定する、”HKLMSoftwareMicrosoftWindows NTCurrentVersion\Image File Execution Options\WerFault.exe” レジストリ・キーを作成する。その結果として、管理者権限でシェルを起動するというエクスプロイトが成立する」と詳述している。

アーティファクトのメタデータ分析によると、この悪意のツールがコンパイルされたのは、Microsoft が脆弱性 CVE-2024-26169 に対処する数週間前である、2024年2月27日だったという。

脅威アクターたちは、自身の活動の痕跡を隠して検出を妨害するために、侵害したシステム上のファイルやディレクトリのタイムスタンプを変更する、タイムストンプと呼ばれる手法を用いる傾向がある。

ランサムウェア攻撃は、2022年に一時的に減少した後に、復活を遂げていた。その中で、Makop マルウェア・ファミリーの亜種である、DORRA と呼ばれる新しいランサムウェア・ファミリーが出現した。

Google 子会社の Mandiant によると、ランサムウェアの流行はデータ流出サイトへの書き込みが 75%増加し、攻撃者に支払われた金額は、2022年の $567M、2021年の $983M から、2023年の $1.1B を超えに至っているという。

Mandiant は、「攻撃者への支払額の増加が示しているのは、2022年に見られた恐喝活動の落ち込みが、異常事態であったことだ。その時期には、ウクライナ侵攻や Conti チャットの流出という、彼らにとっての外的な要因があった。現在の恐喝活動の復活は、2022年という激動の年の後に発生した、サイバー犯罪エコシステムの再定着/新規参入などが要因となっている。以前に破壊された犯罪グループと関連していたアクターたちによる、新たなパートナーシップやランサムウェア・サービスの提供といった、様々な要因があるのだろう」と述べている。

2024年3月の Patch Tuesday でパッチが適用された、Windows Error Reporting Service の脆弱性 CVE-2024-26169 ですが、その時点おいて、すでにエクスプロイト・ツールが展開されていた可能性があるとのことです。この記事には、侵害の状況を確認するための手段が明示されていませんが、レジストリ・キーの確認が有効なのかもしれません。よろしければ、Black Basta で検索も、ご利用ください。