观察到一个名为Void Banshee的高级持续威胁(APT)小组利用微软MHTML浏览器引擎中最近披露的安全漏洞作为零日来提供一个名为Atlantida的信息窃取者。
网络安全公司Trend Micro在2024年5月中旬观察到该活动,该漏洞被跟踪为CVE-2024-38112,被用作使用专门制作的互联网快捷方式(URL)文件的多阶段攻击链的一部分。
安全研究人员Peter Girnus和Aliakbar Zahravi说,在整个2024年,Atlantida运动的变化一直非常活跃,并已演变为使用CVE-2024-38112作为Void Banshee感染链的一部分。像Void Banshee这样的APT团体利用[Internet Explorer]等残疾服务的能力对世界各地的组织构成了重大威胁。
调查结果与Check Point之前的披露相吻合,Check Point告诉《黑客新闻》,有一项活动利用同样的缺点来分发窃贼。值得注意的是,微软在上周的补丁星期二更新中解决了CVE-2024-38112。
CVE-2024-38112已被Windows制造商描述为现已停产的Internet Explorer浏览器中使用的MSHTML(又名Trident)浏览器引擎中的欺骗漏洞。然而,零日倡议(ZDI)断言这是一个远程代码执行缺陷。
ZDI的Dustin Childs指出,当供应商表示修复程序应该是防御深度更新而不是完整的CVE时,会发生什么?当供应商表示影响是欺骗,但错误导致远程代码执行时,会发生什么?
攻击链涉及使用鱼叉钓鱼电子邮件嵌入到文件共享网站上托管的ZIP存档文件的链接,其中包含利用CVE-2024-38112将受害者重定向到托管恶意HTML应用程序(HTA)的受损网站的URL文件。
打开HTA文件会导致执行Visual Basic脚本(VBS),该脚本反过来下载并运行负责检索的PowerShell脚本。NET木马加载程序,最终使用Donut shellcode项目在RegAsm.exe进程内存中解密和执行Atlantida stealer。
Atlantida以NecroStealer和PredatorTheStealer等开源窃取者为模型,旨在从网络浏览器和其他应用程序(包括Telegram、Steam、FileZilla和各种加密货币钱包)中提取文件、屏幕截图、地理位置和敏感数据。
通过使用包含MHTML协议处理程序和x-usc的特别制作的URL文件!指令,Void Banshee能够直接通过禁用的IE进程访问和运行HTML应用程序(HTA)文件,”研究人员说。
这种利用方法类似于CVE-2021-40444,这是另一个用于零日攻击的MSHTML漏洞。
人们对Void Banshee知之甚少,除了它有以北美、欧洲和东南亚地区为对象进行信息盗窃和经济利益的历史。
这一发展发生之际,Cloudflare透露,威胁行为者正在迅速将概念验证(PoC)漏洞纳入其武器库,有时在公开发布后22分钟,正如CVE-2024-27198的情况所观察到的那样。
这家网络基础设施公司表示,利用已披露的CVE的速度通常比人类创建WAF规则或创建和部署补丁以缓解攻击的速度要快。
它还发现了一项新活动,该活动利用Facebook广告推广假Windows主题,以分发另一个名为SYS01stealer的窃取者,旨在劫持Facebook商业帐户并进一步传播恶意软件。
Trustwave说,作为一个信息窃取者,SYS01专注于泄露浏览器数据,如凭据、历史记录和cookie。其有效载荷的很大一部分专注于为Facebook帐户获取访问令牌,特别是那些拥有Facebook商业帐户的帐户,这可以帮助威胁行为者传播恶意软件。
参考地址:https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html
暂无评论内容