17/07/24
Эта уязвимость, зарегистрированная как CVE-2024-38112, используется для многоэтапных атак с применением специально созданных интернет-ярлыков, которые приводят к запуску устаревшего и небезопасного браузера Internet Explorer.
Компания Trend Micro зафиксировала активность Void Banshee в середине мая 2024 года. Эта группировка известна своими атаками на Северную Америку, Европу и Юго-Восточную Азию с целью кражи информации и финансовой выгоды. Исследователи отметили, что кампания Atlantida была особенно активной в этом году, и недавно адаптировала уязвимость CVE-2024-38112 для своих цепочек заражения.
Специалисты подчёркивают, что способность APT-групп, таких как Void Banshee, успешно эксплуатировать отключенные системные сервисы Windows, такие как Internet Explorer, представляет серьёзную угрозу для организаций по всему миру.
Ранее компания Check Point сообщала о кампании, использующей ту же уязвимость для распространения другого вредоносного ПО, напоминает Securitylab. Уязвимость CVE-2024-38112 была исправлена Microsoft на прошлой неделе в рамках обновлений Patch Tuesday.
CVE-2024-38112 описана Microsoft как уязвимость подмены в MSHTML, используемом в отключенном браузере Internet Explorer. Тем не менее, Zero Day Initiative (ZDI) утверждает, что она должна быть классифицирована как уязвимость удалённого выполнения кода (RCE).
Цепочки атак включают использование фишинговых писем со ссылками на ZIP-архивы, содержащие URL-файлы, которые эксплуатируют CVE-2024-38112 для перенаправления жертвы на скомпрометированный сайт с вредоносным HTML-приложением (HTA).
Открытие HTA-файла запускает Visual Basic Script, который загружает и выполняет PowerShell-скрипт, скачивающий троянскую загрузку .NET. Это приводит к расшифровке и исполнению инфостилера Atlantida в памяти процесса RegAsm.exe.
Atlantida, основанная на открытых исходниках NecroStealer и PredatorTheStealer, предназначена для извлечения файлов, скриншотов, геолокации и конфиденциальных данных из веб-браузеров и других приложений, включая Telegram, Steam, FileZilla и различные криптокошельки.
Группа Void Banshee использовала специально созданные URL-файлы с протокольным обработчиком MHTML и директивой x-usc!, что позволило им запускать HTA-файлы через отключенный процесс IE. Этот метод похож на уязвимость CVE-2021-40444, которая также использовалась в атаках с уязвимостями нулевого дня.
