Команда Symantec Threat Hunter Team обнаружила свидетельства того, что киберпреступная группа Cardinal (отслеживаемая Microsoft как Storm-1811) могла использовать недавно исправленную уязвимость Windows Error Reporting Service (CVE-2024-26169) в качестве "нулевого дня".
Инструмент эксплойта, использованный в недавней попытке атаки с целью выкупа, расследованной Symantec, использует уязвимость повышения привилегий (CVE-2024-26169) для создания ключа реестра, позволяющего запустить оболочку с привилегиями администратора. Вариант инструмента, использованного в этой атаке, имел временную метку компиляции 27 февраля 2024 года, за несколько недель до того, как уязвимость была исправлена. Это говорит о том, что, по крайней мере, одна группа могла использовать уязвимость "нулевого дня".
Тактика, техника и процедуры (TTP) злоумышленников очень похожи на те, что описаны в недавнем отчете Microsoft о деятельности Black Basta, что указывает на возможную неудачную атаку Black Basta.
Indicators of Compromise
SHA256
- 2408be22f6184cdccec7a34e2e79711ff4957e42f1ed7b7ad63f914d37dba625
- 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
- 4aae231fb5357c0647483181aeae47956ac66e42b6b134f5b90da76d8ec0ac63
- a31e075bd5a2652917f91714fea4d272816c028d7734b36c84899cd583181b3d
- b0903921e666ca3ffd45100a38c11d7e5c53ab38646715eafc6d1851ad41b92e
