Void Banshee APT利用微软MHTML缺陷传播Atlantida Stealer

观察到一个名为Void Banshee的高级持续威胁（APT）小组利用微软MHTML浏览器引擎中最近披露的安全漏洞作为零日来提供一个名为Atlantida的信息窃取者。

网络安全公司Trend Micro在2024年5月中旬观察到该活动，该漏洞被跟踪为CVE-2024-38112，被用作使用专门制作的互联网快捷方式（URL）文件的多阶段攻击链的一部分。

安全研究人员Peter Girnus和Aliakbar Zahravi说，在整个2024年，Atlantida运动的变化一直非常活跃，并已演变为使用CVE-2024-38112作为Void Banshee感染链的一部分。像Void Banshee这样的APT团体利用[Internet Explorer]等残疾服务的能力对世界各地的组织构成了重大威胁。

调查结果与Check Point之前的披露相吻合，Check Point告诉《黑客新闻》，有一项活动利用同样的缺点来分发窃贼。值得注意的是，微软在上周的补丁星期二更新中解决了CVE-2024-38112。

CVE-2024-38112已被Windows制造商描述为现已停产的Internet Explorer浏览器中使用的MSHTML（又名Trident）浏览器引擎中的欺骗漏洞。然而，零日倡议（ZDI）断言这是一个远程代码执行缺陷。

ZDI的Dustin Childs指出，当供应商表示修复程序应该是防御深度更新而不是完整的CVE时，会发生什么？当供应商表示影响是欺骗，但错误导致远程代码执行时，会发生什么？

攻击链涉及使用鱼叉钓鱼电子邮件嵌入到文件共享网站上托管的ZIP存档文件的链接，其中包含利用CVE-2024-38112将受害者重定向到托管恶意HTML应用程序（HTA）的受损网站的URL文件。

打开HTA文件会导致执行Visual Basic脚本（VBS），该脚本反过来下载并运行负责检索的PowerShell脚本。NET木马加载程序，最终使用Donut shellcode项目在RegAsm.exe进程内存中解密和执行Atlantida stealer。

Atlantida以NecroStealer和PredatorTheStealer等开源窃取者为模型，旨在从网络浏览器和其他应用程序（包括Telegram、Steam、FileZilla和各种加密货币钱包）中提取文件、屏幕截图、地理位置和敏感数据。

通过使用包含MHTML协议处理程序和x-usc的特别制作的URL文件！指令，Void Banshee能够直接通过禁用的IE进程访问和运行HTML应用程序（HTA）文件，”研究人员说。

这种利用方法类似于CVE-2021-40444，这是另一个用于零日攻击的MSHTML漏洞。

人们对Void Banshee知之甚少，除了它有以北美、欧洲和东南亚地区为对象进行信息盗窃和经济利益的历史。

这一发展发生之际，Cloudflare透露，威胁行为者正在迅速将概念验证（PoC）漏洞纳入其武器库，有时在公开发布后22分钟，正如CVE-2024-27198的情况所观察到的那样。

这家网络基础设施公司表示，利用已披露的CVE的速度通常比人类创建WAF规则或创建和部署补丁以缓解攻击的速度要快。

它还发现了一项新活动，该活动利用Facebook广告推广假Windows主题，以分发另一个名为SYS01stealer的窃取者，旨在劫持Facebook商业帐户并进一步传播恶意软件。