大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
近日,知名安全研究员Pierluigi Paganini报道,APT组织Void Banshee利用Windows零日漏洞CVE-2024-38112,通过已禁用的Internet Explorer执行代码,传播恶意软件。这一漏洞是Windows MSHTML平台欺骗漏洞,CVSS评分为7.5。
漏洞利用细节
漏洞利用要求攻击者在实施攻击前采取额外行动,准备目标环境。攻击者可以通过发送包含恶意文件的邮件或链接引诱受害者执行,从而触发漏洞。研究人员发现,Void Banshee利用该漏洞在受害者机器上投放Atlantida信息窃取器。这种恶意软件可以收集系统信息,窃取多种应用程序的敏感数据,如密码和Cookies。
攻击链分析
在Void Banshee的攻击链中,攻击者通过云共享网站、Discord服务器和在线图书馆等渠道传播伪装成PDF电子书的恶意ZIP文件,主要目标是北美、欧洲和东南亚地区的用户。这种零日攻击突显了未受支持的Windows遗留系统仍然是被威胁分子利用的潜在攻击面。
技术细节
Trend Micro研究人员报告称,这种攻击手法类似于之前的CVE-2021-40444漏洞的利用方式。Void Banshee利用禁用的Internet Explorer进程运行HTML应用程序(HTA)文件,使用特制的.URL文件及MHTML协议处理器和x-usc!指令。由于Internet Explorer不再接收更新或安全修复,这种攻击方式尤其令人担忧。
研究报告指出,Void Banshee使用零日漏洞CVE-2024-38112,通过系统禁用的IE重定向受害者至受攻击者控制的域名,在那里HTML文件下载HTA阶段的感染链。攻击者通过控制IE窗口视图大小,隐藏浏览器信息和后续感染阶段的下载。
混淆手段
默认情况下,IE会提示用户打开或保存HTML应用程序,但APT组织通过在文件扩展名中添加空格将HTA文件伪装成PDF。运行HTA文件后,一系列脚本会执行,包括LoadToBadXml .NET木马加载器、Donut shellcode和Atlantida窃取器。
安全警示
Trend Micro总结称,尽管用户可能无法再访问IE,但威胁分子仍然可以利用IE等遗留系统在用户机器上的残留部分进行攻击。这对全球组织构成了重大威胁。由于IE拥有庞大的攻击面且不再接收补丁,它对Windows用户来说是一个严重的安全隐患。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):Void Banshee APT组织利用CVE-2024-38112零日漏洞传播恶意软件
