Detectar la explotación de CVE-2024-38112 por parte del APT Void Banshee en ataques de día cero dirigidos a usuarios de Windows
Tabla de contenidos:
Tras la reciente actualización de Patch Tuesday de Microsoft, que abordó la vulnerabilidad CVE-2024-38112, investigadores descubrieron una campaña sofisticada por parte del APT Void Banshee. Esta campaña explota una brecha de seguridad en el motor del navegador Microsoft MHTML mediante ataques de día cero para desplegar el stealer Atlantida en los dispositivos de las víctimas.
Detección de la explotación de CVE-2024-38113 por Void Banshee
En la primera mitad de 2024, grupos de amenazas persistentes avanzadas de diversas regiones como China, Corea del Norte, Irán, y Rusia revelaron técnicas ofensivas avanzadas e innovadoras, intensificando significativamente el panorama de ciberseguridad global. En medio de crecientes tensiones geopolíticas en los últimos años, la amenaza que representan los APT ha aumentado, convirtiéndose en una de las principales preocupaciones para los expertos en ciberseguridad. Estos adversarios sofisticados están aprovechando vulnerabilidades de día cero, campañas de phishing por spear, y malware de última generación para infiltrar infraestructura crítica, sistemas financieros y redes gubernamentales, subrayando la necesidad urgente de medidas defensivas mejoradas y colaboración internacional en ciberseguridad.
La campaña recientemente revelada por Void Banshee explota una falla ya parcheada para continuar con sus operaciones maliciosas, requiriendo que los defensores cibernéticos estén siempre alerta ante las nuevas amenazas emergentes. Para potenciar la investigación de amenazas y ayudar a los equipos de seguridad a identificar ciberataques vinculados a la campaña en la mira de Void Banshee, SOC Prime Platform para la defensa cibernética colectiva ofrece un conjunto de reglas Sigma seleccionadas.
Presiona el Explorar Detecciones botón de abajo e ingresa inmediatamente a un extenso conjunto de reglas que abordan los ataques del APT Void Banshee explotando CVE-2024-38112.
Todas las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake mientras están mapeadas al marco MITRE ATT&CK para facilitar los procedimientos de detección y búsqueda de amenazas. Además, cada regla está enriquecida con metadatos detallados, incluidos CTI referencias, líneas de tiempo de ataque y recomendaciones de triaje.
Análisis de Ataques de Void Banshee: Explotación de CVE-2024-38112 para la Entrega de Malware
La más reciente investigación de Trend Micro arrojó luz sobre la operación Void Banshee utilizando explotes de CVE-2024-28112 para entregar el Atlantida stealer en dispositivos Windows. La campaña, vista por primera vez en mayo de 2024, involucra una cadena de ataque de múltiples etapas que se basa en la falla para acceder y ejecutar archivos maliciosos a través del navegador Internet Explorer (IE), deshabilitado mediante archivos especiales de acceso directo de internet (URL).
En particular, los adversarios abusan de los archivos .URL y los manejadores de protocolo de Microsoft y esquemas URI, incluido el protocolo MHTML, para acceder al navegador IE deshabilitado por el sistema y dirigirse además a usuarios de Windows 10 y Windows 11. Esta campaña destaca cómo componentes obsoletos de Windows, como Internet Explorer, a pesar de ser considerados obsoletos, siguen siendo un vector de ataque significativo para el malware. Curiosamente, los hallazgos de Trend Micro coinciden con un informe de Check Point, que identificó archivos .URL similares vinculados a la campaña desde principios de enero de 2023.
El proceso de infección generalmente comienza con correos electrónicos de phishing que presentan enlaces a archivos ZIP en plataformas de intercambio de archivos. Estos archivos ZIP albergan archivos .URL que explotan CVE-2024-38112, engañando a las víctimas para que accedan a una página web comprometida con una Aplicación HTML Maliciosa (HTA). Cuando se abre el archivo HTA, ejecuta un script VBS, que luego lanza un script de PowerShell para obtener un cargador .NET. Este cargador opera dentro del proceso RegAsm.exe, desplegando finalmente el Atlantida stealer.
Incluso después de que la actualización de Patch Tuesday de Microsoft resolviera CVE-2024-38112, los atacantes persistieron en sus actividades maliciosas. Esta vulnerabilidad, atribuida a un problema de suplantación en el motor del navegador MSHTML del ya inactivo Internet Explorer, fue abordada en el último parche. A pesar de que el soporte de Internet Explorer terminó el 15 de junio de 2022 y su desactivación oficial en Windows 11 y versiones más recientes de Windows 10, los atacantes han explotado los remanentes del navegador aún presentes en los sistemas. La gravedad de esta amenaza se hizo evidente cuando la actualización de julio de Microsoft reconoció los exploits en curso, lo que llevó al CISA a añadir la falla al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), con un requisito de remediación de 21 días para todas las agencias federales de EE.UU.
El APT Void Banshee concentra principalmente sus esfuerzos en las víctimas de EE.UU., Asia y Europa, con la mayoría de los ataques enfocados en la disseminación del stealer Atlantida, con el objetivo de robar datos sensibles e información de credenciales de diversas aplicaciones, incluidos los navegadores web.
Debido a la creciente amenaza planteada por los actores de APT a nivel mundial, y considerando que los atacantes son capaces de armar rápidamente las últimas vulnerabilidades para futuros ataques, los profesionales de seguridad requieren herramientas avanzadas de detección y búsqueda de amenazas para identificar posibles intrusiones lo antes posible. Confíe en la suite completa de productos de SOC Prime para una Ingeniería de Detección impulsada por IA, Caza Automatizada de Amenazas y Validación del Stack de Detección para identificar y abordar puntualmente puntos ciegos en la defensa cibernética, buscar proactivamente amenazas emergentes y priorizar los esfuerzos de detección, asegurando que siempre esté un paso adelante de los atacantes.
