سو استفاده احتمالی گروه باج افزاری بلک باستا از نقص ویندوز

به گزارش کارگروه امنیت خبرگزاری سایبربان، در ماه مارس، یک نقص با شدت بالا با نام CVE-2024-26169، در سرویس گزارش خطای ویندوز کشف شد، ویژگی در ویندوز که به مایکروسافت کمک می کند تا مشکلات سیستم عامل و سایر نرم افزارها را شناسایی و رفع کند.

بهره برداری موفقیت آمیز از این آسیب پذیری می تواند به مهاجمان اجازه دهد تا کنترل کل سیستم را به دست آورند.

این نقص در ماه مارس اصلاح شد و در آن زمان مایکروسافت اعلام کرد که هیچ مدرکی دال بر بهره برداری از آن در شبکه وجود ندارد.

با این حال، تجزیه و تحلیل جدید سیمانتک از ابزار سوء استفاده‌شده در حملات اخیر شواهدی را نشان داد که می‌توانست قبل از انتشار وصله ایجاد شده باشد، به این معنی که حداقل یک گروه ممکن است از این آسیب‌پذیری به عنوان آسیب پذیری روز صفر، سو استفاده کرده باشد.

مایکروسافت به این موضوع واکنشی نشان نداده است.

این ابزار بهره‌برداری در یک حمله باج‌افزاری تازه، مشابه آنچه در گزارش مایکروسافت که جزئیات فعالیت بلک باستا (Black Basta) را شرح می‌دهد، مورد سو استفاده قرار گرفت.

به گفته محققان، گروه هکری که حملات باج‌افزاری انجام می‌دهد، معروف به کاردینال (Cardinal) یا استورم-1811 (Storm-1811)، موفق به استقرار باج‌افزار در این حمله نشده است.

کاردینال، بلک باستا را در آوریل 2022 معرفی کرد و از همان ابتدا این باج افزار ارتباط نزدیکی با بات نت کک بات (Qakbot) داشت که به نظر می رسید ناقل اصلی آلودگی باشد.

کک بات یکی از پرکارترین بات‌نت‌های توزیع بدافزار در جهان بود تا اینکه در آگوست 2023 حذف شد و منجر به کاهش فعالیت بلک باستا شد.

به گفته سیمانتک، کاردینال از آن زمان حملات خود را از سر گرفته است و اکنون به نظر می رسد که به همکاری با اپراتورهای بارگذار دارک گیت روی آورده است تا به قربانیان احتمالی دسترسی پیدا کند.