Rileva lo sfruttamento di CVE-2024-38112 da parte del Void Banshee APT in attacchi zero-day mirati agli utenti Windows
Indice:
Dopo il recente aggiornamento di Patch Tuesday di Microsoft, che ha risolto la vulnerabilità CVE-2024-38112, i ricercatori hanno scoperto una campagna sofisticata da parte dell’APT Void Banshee. Questa campagna sfrutta una falla di sicurezza nel motore del browser Microsoft MHTML attraverso attacchi zero-day per distribuire il furto Atlántida sui dispositivi delle vittime.
Rilevare lo sfruttamento di CVE-2024-38113 da parte di Void Banshee
Nel primo semestre del 2024, gruppi di minacce persistenti avanzate di diverse regioni come Cina, Corea del Nord, Iran e Russia hanno svelato tecniche offensive avanzate e innovative, intensificando significativamente il panorama globale della sicurezza informatica. Tra l’escalation delle tensioni geopolitiche negli ultimi anni, la minaccia rappresentata dagli APT è aumentata, diventando una delle principali preoccupazioni per gli esperti di sicurezza informatica. Questi avversari sofisticati stanno sfruttando vulnerabilità zero-day, campagne di spear-phishing e malware all’avanguardia per infiltrarsi in infrastrutture critiche, sistemi finanziari e reti governative, sottolineando la necessità urgente di migliorare le misure difensive e la collaborazione internazionale in materia di sicurezza informatica.
La campagna appena rivelata di Void Banshee sfrutta una falla già corretta per proseguire con le loro operazioni malevole, richiedendo ai difensori informatici di essere sempre allerta contro le minacce emergenti. Per potenziare le indagini sulle minacce e aiutare i team di sicurezza a identificare attacchi informatici legati alla campagna Void Banshee in primo piano, Piattaforma SOC Prime per la difesa informatica collettiva offre un set di regole Sigma curate.
Premi il Esplora Rilevamenti pulsante qui sotto per approfondire immediatamente un set di regole esteso che indirizza gli attacchi APT Void Banshee sfruttando CVE-2024-38112.
Tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake, essendo mappate sul framework MITRE ATT&CK per facilitare le procedure di rilevamento e caccia delle minacce. Inoltre, ogni regola è arricchita con metadati dettagliati, tra cui CTI riferimenti, timeline degli attacchi e raccomandazioni di triage.
Analisi degli Attacchi Void Banshee: Sfruttare CVE-2024-38112 per la Distribuzione di Malware
L’indagine più recente di Trend Micro ha fatto luce sull’operazione Void Banshee che utilizza exploit CVE-2024-28112 per distribuire il furto Atlántida su dispositivi Windows. La campagna, avvistata per la prima volta a maggio 2024, implica una catena di attacco multi-fase che si avvale della falla per accedere ed eseguire file maligni tramite il browser Internet Explorer (IE) disabilitato, attraverso file di collegamento internet (URL) appositamente creati.
In particolare, gli avversari abusano di file .URL e gestori di protocolli Microsoft e schemi URI, inclusi protocollo MHTML, per accedere al browser IE disabilitato sul sistema e colpire ulteriormente gli utenti di Windows 10 e Windows 11. Questa campagna evidenzia come componenti Windows obsoleti, come Internet Explorer, nonostante siano considerati obsoleti, rimangano un vettore di attacco significativo per il malware. Interessantemente, le scoperte di Trend Micro si sovrappongono a un rapporto di Check Point, che ha identificato file .URL simili collegati alla campagna già a gennaio 2023.
Il processo di infezione di solito inizia con email di phishing che presentano collegamenti a file ZIP su piattaforme di condivisione file. Questi file ZIP contengono file .URL che sfruttano CVE-2024-38112, ingannando le vittime ad accedere a una pagina web compromessa con un’applicazione HTML malevola (HTA). Quando il file HTA viene aperto, esegue uno script VBS, che poi lancia uno script PowerShell per recuperare un caricatore .NET. Questo caricatore opera nel processo RegAsm.exe, distribuendo infine il furto Atlántida.
Anche dopo che l’aggiornamento di Patch Tuesday di Microsoft ha risolto CVE-2024-38112, gli attaccanti hanno continuato le loro attività malevole. Questa vulnerabilità , attribuita a un problema di spoofing nel motore del browser MSHTML del ormai defunto Internet Explorer, è stata risolta nell’ ultimo patch. Nonostante il supporto per Internet Explorer sia terminato il 15 giugno 2022 e la sua disattivazione ufficiale nelle versioni più recenti di Windows 10 e Windows 11, gli attaccanti hanno sfruttato i residui del browser ancora presenti nei sistemi. La gravità di questa minaccia è divenuta evidente quando l’aggiornamento di luglio di Microsoft ha riconosciuto gli exploit in corso, spingendo la CISA ad aggiungere la falla al catalogo delle vulnerabilità sfruttate note (KEV), con un requisito di riparazione entro 21 giorni per tutte le agenzie federali statunitensi.
L’APT Void Banshee concentra principalmente i suoi sforzi su vittime negli Stati Uniti, Asia ed Europa, con la maggior parte degli attacchi concentrati sulla diffusione del furto Atlántida, mirando a rubare dati sensibili e informazioni di credenziali da varie applicazioni, incluso i browser web.
A causa della crescente minaccia posta dagli attori APT a livello globale, e nella consapevolezza che gli attaccanti sono in grado di armare rapidamente le vulnerabilità più recenti per ulteriori attacchi, i professionisti della sicurezza richiedono strumenti avanzati per il rilevamento e la caccia alle minacce per identificare potenziali intrusioni il più presto possibile. Affidati alla suite completa di prodotti SOC Prime per l’ingegneria di rilevamento basata su AI, la caccia automatizzata alle minacce e la validazione dello stack di rilevamento per identificare tempestivamente e affrontare i punti ciechi della difesa informatica, cacciare proattivamente le minacce emergenti e dare priorità agli sforzi di rilevamento, assicurandoti di rimanere un passo avanti rispetto agli attaccanti.
