Erkennung der Ausnutzung von CVE-2024-38112 durch Void Banshee APT in Zero-Day-Angriffen, die auf Windows-Nutzer abzielen
Inhaltsverzeichnis:
Nach dem jüngsten Patch Tuesday-Update von Microsoft, das die CVE-2024-38112-Schwachstelle behoben hat, entdeckten Forscher eine ausgeklügelte Kampagne der Void Banshee APT. Diese Kampagne nutzt Schwachstellen im Microsoft MHTML-Browser-Engine über Zero-Day-Angriffe aus, um den Atlantida-Stealer auf den Geräten der Opfer zu installieren.
Erkennung der Ausnutzung von CVE-2024-38113 durch Void Banshee
In der ersten Hälfte des Jahres 2024 enthüllten fortgeschrittene Bedrohungsgruppen aus verschiedenen Regionen wie China, Nordkorea, Iran und Russland fortschrittliche und innovative offensive Techniken, die die globale Cybersicherheitslage erheblich verschärfen. Angesichts eskalierender geopolitischer Spannungen in den letzten Jahren hat die Bedrohung durch APTs stark zugenommen und gehört zu den größten Sorgen von Cybersicherheitsexperten. Diese hochentwickelten Gegner nutzen Zero-Day-Schwachstellen, Spear-Phishing-Kampagnen und hochentwickelte Malware, um in kritische Infrastrukturen, Finanzsysteme und Regierungsnetzwerke einzudringen, was den dringenden Bedarf an verbesserten Abwehrmaßnahmen und internationaler Zusammenarbeit im Bereich Cybersicherheit unterstreicht.
Die neu enthüllte Kampagne von Void Banshee nutzt eine bereits gepatchte Schwachstelle aus, um ihre bösartigen Operationen fortzusetzen, was von den Cyberverteidigern ständige Wachsamkeit gegenüber neuen Bedrohungen erfordert. Um die Bedrohungsermittlung zu stärken und Sicherheitsteams zu helfen, Cyberangriffe im Zusammenhang mit der aufsehenerregenden Void Banshee-Kampagne zu identifizieren, SOC Prime Plattform für kollektive Cyberverteidigung bietet eine Reihe kuratierter Sigma-Regeln an.
Drücken Sie den Erkennung untersuchen Button unten und tauchen Sie sofort in ein umfangreiches Regelsatz ein, der sich mit den Angriffen der Void Banshee APT befasst, die CVE-2024-38112 ausnutzen.
Alle Regeln sind mit über 30 SIEM-, EDR- und Data Lake-Lösungen kompatibel und werden nach dem MITRE ATT&CK-Framework abgebildet, um die Bedrohungserkennungs- und Jagdverfahren zu erleichtern. Darüber hinaus wird jede Regel mit detaillierten Metadaten angereichert, einschließlich CTI Referenzen, Angriffszeitlinien und Priorisierungsempfehlungen.
Void Banshee-Angriffsanalyse: Ausnutzung von CVE-2024-38112 für die Malware-Verbreitung
Die jüngste Untersuchung von Trend Micro beleuchtete die Void Banshee-Operation, die CVE-2024-28112-Schwachstellen ausnutzt, um den Atlantida-Stealer auf Windows-Geräten zu installieren. Die im Mai 2024 erstmals entdeckte Kampagne beinhaltet eine mehrstufige Angriffskette, die sich auf die Schwachstelle stützt, um Zugriff auf und Ausführung von bösartigen Dateien über den deaktivierten Internet Explorer (IE)-Browser mithilfe speziell gestalteter Internet-Verknüpfungsdateien (URL) zu erhalten.
Insbesondere missbrauchen die Angreifer .URL-Dateien sowie Microsoft-Protokoll-Handler und URI-Schemata, einschließlich des MHTML-Protokolls, um auf den systemdeaktivierten IE-Browser zuzugreifen und weiter Windows 10- und Windows 11-Benutzer ins Visier zu nehmen. Diese Kampagne zeigt, wie veraltete Windows-Komponenten, wie der Internet Explorer, trotz ihrer Annahme als obsolet, nach wie vor ein bedeutender Angriffsvektor für Malware sind. Interessanterweise überschneiden sich die Erkenntnisse von Trend Micro mit einem Bericht von Check Point, der ähnliche .URL-Dateien bereits im Januar 2023 mit der Kampagne verknüpfte.
Der Infektionsprozess beginnt in der Regel mit Phishing-E-Mails, die Links zu ZIP-Dateien auf File-Sharing-Plattformen enthalten. Diese ZIP-Dateien beherbergen .URL-Dateien, die CVE-2024-38112 ausnutzen, um die Opfer dazu zu verleiten, eine kompromittierte Webseite mit einer bösartigen HTML-Anwendung (HTA) zu öffnen. Wenn die HTA-Datei geöffnet wird, wird ein VBS-Skript ausgeführt, das dann ein PowerShell-Skript startet, um einen .NET-Loader abzurufen. Dieser Loader arbeitet innerhalb des RegAsm.exe-Prozesses und installiert letztendlich den Atlantida-Stealer.
Selbst nach dem Patch Tuesday-Update von Microsoft, das CVE-2024-38112 behoben hat, setzten die Angreifer ihre bösartigen Aktivitäten fort. Diese Schwachstelle, die auf ein Spoofing-Problem im MSHTML-Browser-Engine des inzwischen nicht mehr unterstützten Internet Explorers zurückzuführen ist, wurde im letzten Patchbehoben. Trotz des Endes des Supports für den Internet Explorer am 15. Juni 2022 und seiner offiziellen Deaktivierung in Windows 11 und neueren Windows 10-Versionen haben Angreifer Überreste des Browsers, die noch auf den Systemen vorhanden sind, ausgenutzt. Die Schwere dieser Bedrohung wurde deutlich, als das Microsoft-Update im Juli anerkannte, dass weiterhin Exploits vorhanden waren, was die CISA dazu veranlasste, die Schwachstelle in den bekannten Katalog der ausgenutzten Schwachstellen (KEV) aufzunehmen, mit einer 21-tägigen Behebungsfrist für alle US-Bundesbehörden.
Void Banshee APT konzentriert seine Bemühungen größtenteils auf Opfer in den USA, Asien und Europa, wobei der Großteil der Angriffe auf die Verbreitung des Atlantida-Stealers abzielt, um sensible Daten und Anmeldeinformationen aus verschiedenen Anwendungen, einschließlich Webbrowsern, zu stehlen.
Aufgrund der eskalierenden Bedrohung durch APT-Akteure weltweit und im Hinblick darauf, dass Angreifer in der Lage sind, die neuesten Schwachstellen schnell zu den eigenen Zwecken zu nutzen, für weitere Angriffe benötigen Sicherheitsfachleute fortschrittliche Bedrohungserkennungs- und Jagdwerkzeuge, um potenzielle Eindringlinge so früh wie möglich zu identifizieren. Verlassen Sie sich auf das vollständige Produktangebot von SOC Prime für AI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und Validierung des Erkennungs-Stacks, um Cyberverteidigungsblinde Flecken rechtzeitig zu identifizieren und zu beheben, proaktiv nach neuen Bedrohungen zu jagen und Erkennungsbemühungen zu priorisieren, damit Sie Angreifern immer einen Schritt voraus sind.
