Detect CVE-2024-38112 Exploitation by Void Banshee APT in Zero-Day Attacks Targeting Windows Users

マイクロソフトの最近のパッチ火曜日更新により、CVE-2024-38112の脆弱性が対処された後、研究者はVoid Banshee APTによる高度なキャンペーンを明らかにしました。このキャンペーンは、ゼロデイ攻撃を通じてMicrosoft MHTMLブラウザエンジンのセキュリティギャップを悪用し、被害者のデバイスにAtlantidaステーラーを展開します。

Void BansheeによるCVE-2024-38113の悪用を検出

2024年の前半、中国、北朝鮮、イラン、ロシアなどのさまざまな地域の高度な持続的脅威グループが、高度で革新的な攻撃技術を発表し、世界のサイバーセキュリティの状況を著しく強化しました。近年の地政学的緊張の高まりの中で、APTの脅威は急増し、サイバーセキュリティ専門家にとって最も重要な懸念事項のひとつとなっています。これらの高度な敵対者は、ゼロデイ脆弱性、スピアフィッシングキャンペーン、および最先端のマルウェアを利用して、重要なインフラ、金融システム、および政府のネットワークに侵入しており、強化された防御策と国際協力の必要性を強調しています。

Void Bansheeによって新たに明らかになったキャンペーンは、既にパッチが適用された脆弱性を悪用して悪意のある作業を進めており、サイバー防御者が新たに出現する脅威に常に警戒する必要があります。脅威の調査を強化し、注目を浴びているVoid Bansheeキャンペーンに関連するサイバー攻撃をセキュリティチームが識別できるようにするために、 SOC Primeプラットフォーム は、集団的サイバー防御のために厳選されたSigmaルールを提供します。

を押して、 検出を探索する ボタンを使い、CVE-2024-38112を悪用したVoid Banshee APT攻撃に対処する広範なルールセットにすぐにアクセスしてください。

検出を探索する

すべてのルールは、30以上のSIEM、EDR、およびデータレイクソリューションに対応しており、 MITRE ATT&CKフレームワーク にマッピングされて、脅威検出とハンティング手順を円滑にします。さらに、すべてのルールには、 CTI 参照、攻撃タイムライン、トリアージ推奨事項を含む詳細なメタデータで強化されています。

Void Banshee攻撃分析：CVE-2024-38112を悪用したマルウェア配信

最新の トレンドマイクロによる調査 により、Void Bansheeの操作がCVE-2024-28112の悪用を利用してWindowsデバイスにAtlantidaステーラーを配信する方法が明らかにされました。このキャンペーンは2024年5月に初めて発見され、欠陥を利用して、無効化されたインターネットエクスプローラー（IE）ブラウザを介して特別に作成されたインターネットショートカット（URL）ファイルを通じて悪意のあるファイルにアクセスして実行する多段階攻撃チェーンを含んでいます。

特に、攻撃者は.URLファイルおよびMicrosoftプロトコルハンドラーとURIスキーマ（MHTMLプロトコルを含む）を悪用し、システム無効化されたIEブラウザにアクセスして、Windows 10およびWindows 11ユーザーをさらにターゲットにします。このキャンペーンは、インターネットエクスプローラーのような時代遅れのWindowsコンポーネントが古いと考えられていても、依然としてマルウェアの顕著な攻撃ベクトルであることを示しています。興味深いことに、トレンドマイクロの調査結果は、 チェックポイントによる報告書 と重なり、2023年1月にはすでにキャンペーンと関連付けられた同様の.URLファイルが特定されていました。

感染プロセスは通常、ファイル共有プラットフォーム上のZIPファイルへのリンクを含むフィッシングメールから始まります。これらのZIPファイルには、CVE-2024-38112を悪用し、被害者を悪意のあるHTMLアプリケーション（HTA）を持つ妥協したウェブページにアクセスさせる.URLファイルが収められています。HTAファイルが開かれると、VBSスクリプトが実行され、それがさらにPowerShellスクリプトを立ち上げて.NETローダーを取得します。このローダーはRegAsm.exeプロセス内で操作され、最終的にAtlantidaステーラーを展開します。

マイクロソフトのPatch Tuesday更新がCVE-2024-38112を解決した後も、攻撃者は悪意のある活動を続けました。この脆弱性は、廃止されたインターネットエクスプローラーのMSHTMLブラウザエンジンにおけるなりすまし問題に起因しており、 最新のパッチで対処されました。インターネットエクスプローラーのサポートは2022年6月15日に終了し、Windows 11および新しいWindows 10バージョンで公式に無効化されているにもかかわらず、攻撃者はシステム上に残っているブラウザの残骸を悪用しました。この脅威の重大性が明らかになったのは、マイクロソフトの7月の更新が進行中の悪用を認めたときで、CISAがすべての米国連邦機関に21日の修復義務を課して脆弱性を既知の悪用脆弱性（KEV）カタログに追加した際でした。

Void Banshee APTは、主にアトランティーダステイラーの配信に焦点を当て、米国、アジア、ヨーロッパの被害者を狙って、さまざまなアプリケーション（ウェブブラウザを含む）から機密データや認証情報を盗むことを目指しています。

世界的にAPTアクターによって引き起こされる脅威が増大しているため、 攻撃者は最新の脆弱性を迅速に武器化してさらなる攻撃を行うことができます ため、セキュリティ専門家は潜在的な侵入をできるだけ早く識別するために高度な脅威検出&ハンティングツールが必要です。 SOC Primeの完全な製品スイートに依存し、 AIにより強化された検出エンジニアリング、自動化された脅威ハンティング&検出スタック検証を使用して、サイバー防御の盲点を適時に識別・対処し、新たに出現する脅威を積極的にハントし、検出努力に優先順位を付け、攻撃者に対して一歩先を行くことを確実にします。