Извештај који је објавио Касперски Лабс је недавно бацио светло на актера претње који је користио заједнички систем датотека евиденције (ЦЛФС) за повећање привилегија. Касперски је овај напад приписао групи која је користила више различитих али сличних експлоатација ЦЛФС драјвера који су највероватније од истог програмера.
Kaspersky’s analysis suggests that this exploit was used to dump the contents of the HKEY_LOCAL_MACHINESAM registry hive to continue their attack. Upon discovering this exploit, Kaspersky submitted their analysis to Microsoft for review. Microsoft responded promptly and assigned CVE-2023-28252 to the vulnerability. The company resolved the issue on April 11, 2023, as part of their April patch Tuesday.
Despite the cybercriminals’ sophistication, there is significant overlap between their goals and the methods they use to achieve them. This time, the attackers used a previously unknown way to escalate privileges and perform OS Credential Dumping, a well-known technique tracked by MITRE as T1003.002. While zero-day usage is always a concern, the follow-up activity is relatively simple to detect with proper logging or an Endpoint Detection and Response (EDR) tool, which can give security teams the critical time they need to get ahead of a ransomware attack.
Бинари Дефенсе је компанија која пружа услуге управљаног откривања и одговора како би помогла тимовима да добију витално време у најгорим сценаријима. Њихова понуда услуга је од суштинског значаја, имајући у виду значајан пораст напада рансомваре-а са којима се данас суочавају предузећа и организације.
Извештај компаније Касперски наглашава важност постојања поузданог ЕДР алата за брзо откривање таквих напада. Ови алати омогућавају безбедносним тимовима да открију злонамерне активности, добију упозорења и брзо реагују пре него што нападач може да испоручи свој коначни терет.
Leveraging the recently discovered exploit, a group of criminals has recently been using the Nokoyawa ransomware to exploit a Windows zero-day vulnerability and hit several organizations worldwide. This group is using the same techniques and tactics that attackers have been using in previous campaigns, attempting to gain access to organizations’ networks by enticing employees to click on links or download attachments from phishing emails.
Када нападачи добију почетни приступ, користе ЦЛФС експлоатацију да ескалирају привилегије, крећу се бочно кроз мрежу и примењују рансомваре. Рансомваре је врста злонамерног софтвера који шифрује корисничке датотеке и захтева откуп за враћање приступа. Напади рансомваре-а су често уносни за нападаче и могу озбиљно пореметити пословне операције на дужи период.
Напад ове природе је сценарио ноћне море за сваку организацију и наглашава важност редовне обуке за подизање свести о безбедности, управљања рањивостима и заштите крајњих тачака. Што више организације могу да учине да се заштите, то ће боље бити у идентификовању претњи и реаговању на њих.
In conclusion, the Kaspersky report emphasizes the importance of having a reliable EDR tool to detect these types of attacks promptly. The attacker’s methods and tactics are nothing new, but security measures must be in place to detect and respond to these attacks before they become catastrophic. With the increasing frequency and sophistication of ransomware attacks, businesses and organizations must take all necessary measures to reduce the risk of falling victim to cybercriminals.