Détecter l’exploitation de CVE-2024-38112 par le groupe APT Void Banshee dans des attaques zéro-day ciblant les utilisateurs Windows
Table des matières :
Suite à la récente mise à jour Patch Tuesday de Microsoft, qui a corrigé la vulnérabilité CVE-2024-38112, les chercheurs ont découvert une campagne sophistiquée menée par le groupe APT Void Banshee. Cette campagne exploite une faille de sécurité dans le moteur de navigateur MHTML de Microsoft via des attaques de type zero-day pour déployer le stealer Atlantida sur les appareils des victimes.
Détecter l’exploitation de CVE-2024-38113 par Void Banshee
Au premier semestre 2024, des groupes de menaces persistantes avancées de diverses régions telles que la Chine, la Corée du Nord, l’Iran et la Russie ont dévoilé des techniques offensives avancées et innovantes, intensifiant considérablement le paysage mondial de la cybersécurité. Dans un contexte de tensions géopolitiques croissantes ces dernières années, la menace posée par les APT a augmenté, devenant l’une des principales préoccupations des experts en cybersécurité. Ces adversaires sophistiqués exploitent des vulnérabilités zero-day, des campagnes de spear-phishing et des malwares à la pointe de la technologie pour infiltrer les infrastructures critiques, les systèmes financiers et les réseaux gouvernementaux, soulignant la nécessité urgente de renforcer les mesures défensives et la collaboration internationale en matière de cybersécurité.
La campagne récemment révélée par Void Banshee exploite une faille déjà corrigée pour poursuivre leurs opérations malveillantes, obligeant les cyber-défenseurs à rester constamment vigilants face aux menaces émergentes. Pour renforcer l’investigation des menaces et aider les équipes de sécurité à identifier les cyberattaques liées à la campagne Void Banshee sous les projecteurs, Plateforme SOC Prime pour la défense cybernétique collective offre un ensemble de règles Sigma sélectionnées.
Appuyez sur le Explorer les détections bouton ci-dessous et accédez immédiatement à un ensemble complet de règles traitant des attaques du groupe APT Void Banshee exploitant le CVE-2024-38112.
Toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake tout en étant mappées au cadre MITRE ATT&CK pour simplifier les procédures de détection et de chasse aux menaces. De plus, chaque règle est enrichie de métadonnées détaillées, incluant CTI références, chronologies des attaques et recommandations de triage.
Analyse des attaques Void Banshee : Exploitation du CVE-2024-38112 pour la livraison de malwares
La plus récente enquête de Trend Micro a mis en lumière l’opération Void Banshee utilisant les exploits CVE-2024-28112 pour livrer le stealer Atlantida sur les appareils Windows. La campagne, repérée pour la première fois en mai 2024, implique une chaîne d’attaque en plusieurs étapes reposant sur la faille pour accéder et exécuter des fichiers malveillants via le navigateur Internet Explorer (IE) désactivé grâce à des fichiers raccourcis internet (URL) spécialement conçus.
En particulier, les adversaires abusent des fichiers .URL et des gestionnaires de protocoles Microsoft & schémas URI, y compris le protocole MHTML, pour accéder à l’IE désactivé du système et cibler davantage les utilisateurs de Windows 10 et Windows 11. Cette campagne souligne comment les composants Windows obsolètes, tels qu’Internet Explorer, malgré leur désuétude, restent un vecteur d’attaque significatif pour les malwares. Fait intéressant, les découvertes de Trend Micro recoupent un rapport de Check Point, qui a identifié des fichiers .URL similaires liés à la campagne dès janvier 2023.
Le processus d’infection commence généralement par des e-mails de phishing contenant des liens vers des fichiers ZIP sur des plateformes de partage de fichiers. Ces fichiers ZIP contiennent des fichiers .URL qui exploitent le CVE-2024-38112, trompant les victimes pour accéder à une page web compromise avec une application HTML malveillante (HTA). Lorsque le fichier HTA est ouvert, il exécute un script VBS, qui lance ensuite un script PowerShell pour récupérer un chargeur .NET. Ce chargeur opère dans le processus RegAsm.exe, déployant finalement le stealer Atlantida.
Même après que la mise à jour Patch Tuesday de Microsoft ait résolu le CVE-2024-38112, les attaquants ont persisté dans leurs activités malveillantes. Cette vulnérabilité, attribuée à un problème de spoofing dans le moteur de navigateur MSHTML de l’Internet Explorer désormais obsolète, a été corrigée dans la dernière mise à jour. Malgré la fin du support d’Internet Explorer le 15 juin 2022 et sa désactivation officielle dans Windows 11 et les versions plus récentes de Windows 10, les attaquants ont exploité les restes du navigateur toujours présents sur les systèmes. La gravité de cette menace est devenue évidente lorsque la mise à jour de juillet de Microsoft a reconnu les exploitations en cours, incitant le CISA à ajouter la faille au catalogue des vulnérabilités exploitées connues (KEV), avec une exigence de remédiation de 21 jours pour toutes les agences fédérales américaines.
Le groupe APT Void Banshee concentre principalement ses efforts sur des victimes à travers les États-Unis, l’Asie et l’Europe, la plupart des attaques étant axées sur la diffusion du stealer Atlantida, visant à voler des données sensibles et des informations d’identification de diverses applications, y compris les navigateurs web.
En raison de la menace croissante posée par les acteurs des APT à l’échelle mondiale, et dans la capacité des attaquants à rapidement armer les dernières vulnérabilités pour de nouvelles attaques, les professionnels de la sécurité nécessitent des outils avancés de détection et de chasse aux menaces pour identifier les intrusions potentielles le plus tôt possible. Comptez sur la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation de la pile de détection pour identifier et traiter en temps opportun les angles morts de la défense cybernétique, chasser de manière proactive les menaces émergentes et hiérarchiser les efforts de détection, garantissant que vous restez un pas en avant des attaquants.
