Void Banshee APT 利用 Microsoft MHTML 漏洞传播 Atlantida Stealer

2024-07-17 10:30:37 0 647

Void Banshee APT 利用 Microsoft MHTML 漏洞传播 Atlantida Stealer



据观察,一个名为Void Banshee的高级持续性威胁 (APT) 组织利用微软 MHTML 浏览器引擎中最近披露的安全漏洞作为零日漏洞来传播名为Atlantida的信息窃取程序。

网络安全公司趋势科技 (Trend Micro) 于 2024 年 5 月中旬观察到了该活动,该漏洞(追踪为CVE-2024-38112)被用作使用特制的互联网快捷方式 (URL) 文件的多阶段攻击链的一部分。

安全研究人员 Peter Girnus 和 Aliakbar Zahravi表示: “Atlantida 活动的变种在整个 2024 年都非常活跃,并已发展到使用 CVE-2024-38112 作为 Void Banshee 感染链的一部分。”“像 Void Banshee 这样的 APT 组织能够利用 [Internet Explorer] 等已禁用的服务,这对全球组织构成了重大威胁。”

这一发现与 Check Point 先前披露的内容相吻合,Check Point 向 The Hacker News 透露,有一项活动利用了同样的漏洞来传播窃取程序。值得注意的是,微软在上周的补丁星期二更新中解决了 CVE-2024-38112 问题。

Windows 制造商将 CVE-2024-38112 描述为现已停用的 Internet Explorer 浏览器中使用的 MSHTML(又名 Trident)浏览器引擎中的一个欺骗漏洞。然而,零日计划 (ZDI) 声称这是一个远程代码执行漏洞。

ZDI 的 Dustin Childs指出: “如果供应商声明修复应该是纵深防御更新而不是完整的 CVE,会发生什么情况?”“如果供应商声明影响是欺骗,但漏洞导致远程代码执行,会发生什么情况?”

攻击链涉及使用鱼叉式网络钓鱼电子邮件,其中嵌入指向文件共享网站上托管的 ZIP 存档文件的链接,其中包含利用 CVE-2024-38112 的 URL 文件,将受害者重定向到托管恶意 HTML 应用程序 (HTA) 的受感染网站。

打开 HTA 文件会导致执行 Visual Basic 脚本 (VBS),该脚本又会下载并运行负责检索 .NET 木马加载器的 PowerShell 脚本,该脚本最终使用 Donut shellcode 项目解密并执行 RegAsm.exe 进程内存中的 Atlantida 窃取程序。



Atlantida 以NecroStealer和PredatorTheStealer等开源窃取程序为模型,旨在从网络浏览器和其他应用程序(包括 Telegram、Steam、FileZilla 和各种加密货币钱包)中提取文件、屏幕截图、地理位置和敏感数据。

研究人员表示:“通过使用包含 MHTML 协议处理程序和 x-usc! 指令的特制 URL 文件,Void Banshee 能够直接通过已禁用的 IE 进程访问并运行 HTML 应用程序 (HTA) 文件。”

“这种利用方法类似于CVE-2021-40444,这是另一个在零日攻击中使用的 MSHTML 漏洞。”

关于 Void Banshee,除了知道它曾以北美、欧洲和东南亚地区为目标窃取信息和获取经济利益外,我们对其了解不多。

与此同时,Cloudflare 透露,威胁行为者正在迅速将概念验证(PoC)漏洞纳入其武器库,有时甚至在公开发布后 22 分钟就将其纳入,正如CVE-2024-27198的情况所见。

该网络基础设施公司表示:“披露的 CVE 的利用速度通常比人类创建 WAF 规则或创建和部署补丁以缓解攻击的速度更快。”

此外,还发现了一项新的活动,该活动利用推广虚假 Windows 主题的 Facebook 广告来传播另一个名为SYS01stealer的窃取程序,该程序旨在劫持 Facebook 商业账户并进一步传播恶意软件。

Trustwave表示:“作为信息窃取者,SYS01 专注于窃取浏览器数据,例如凭证、历史记录和 cookie。其大部分负载都用于获取 Facebook 帐户的访问令牌,特别是那些拥有 Facebook 商业帐户的帐户,这可以帮助威胁行为者传播恶意软件。”

关于作者

maojila99篇文章415篇回复

评论0次

要评论?请先  登录  或  注册