Windows 사용자를 대상으로 한 제로데이 공격에서 Void Banshee APT에 의한 CVE-2024-38112 악용 탐지

Microsoft의 최근 패치 화요일 업데이트에서 CVE-2024-38112 취약점을 해결한 이후, 연구자들은 Void Banshee APT의 정교한 캠페인을 발견했습니다. 이 캠페인은 제로데이 공격을 통해 Microsoft MHTML 브라우저 엔진의 보안 결함을 악용하여 피해자의 기기에 Atlantida 스틸러를 배포합니다.

Void Banshee에 의한 CVE-2024-38113 악용 탐지

2024년 상반기 동안 중국, 북한, 이란 및 러시아와 같은 다양한 지역의 고급 APT 그룹들이 고도의 혁신적 공격 기법을 공개하여 전 세계 사이버 보안 환경을 크게 심화시켰습니다. 최근 몇 년간의 고조된 지정학적 긴장 속에서, APT에 의한 위협은 급증하여 사이버 보안 전문가들의 주요 우려사항 중 하나가 되었습니다. 이 정교한 적들은 제로데이 취약점, 스피어 피싱 캠페인, 최첨단 악성코드를 활용하여 중요한 인프라, 금융 시스템 및 정부 네트워크를 침투하며, 강화된 방어 조치와 국제적 협력의 긴급한 필요성을 강조합니다.

새롭게 공개된 Void Banshee의 캠페인은 이미 패치된 결함을 이용하여 악성 작전을 계속하며, 사이버 방어자들이 항상 새로운 위협에 대비해야 함을 요구합니다. 부각되고 있는 Void Banshee 캠페인과 연관된 사이버 공격을 식별하기 위해 보안 팀을 돕고자 위협 조사를 강화하기 위해, SOC Prime 플랫폼 은 집합적 사이버 방어를 위한 큐레이션된 Sigma 룰 세트를 제공합니다.

아래의 탐지 탐색 버튼을 눌러 CVE-2024-38112을 악용한 Void Banshee APT 공격을 다루는 광범위한 룰 세트에 즉시 접속하세요.

탐지 탐색

모든 룰은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크 에 매핑되어 위협 탐지 및 수색 절차를 원활하게 수행합니다. 추가적으로, 모든 룰은 CTI 참조, 공격 타임라인, 초동 조치 권고사항

을 포함한 상세한 메타데이터로 풍부하게 구성되어 있습니다.

가장 최근의 Trend Micro의 조사 는 CVE-2024-28112 악용을 활용하여 Windows 기기에 Atlantida 스틸러를 전달하는 Void Banshee 작전에 대한 정보를 밝혔습니다. 2024년 5월에 최초로 발견된 이 캠페인은 비활성화된 Internet Explorer (IE) 브라우저를 통한 특별히 제작된 인터넷 바로 가기(URL) 파일을 통해 접근하여 악성 파일을 실행하는 다단계 공격 체인을 포함합니다.

특히, 공격자들은 .URL 파일과 Microsoft 프로토콜 핸들러 & URI 스키마, MHTML 프로토콜을 이용하여 시스템 비활성화 IE 브라우저에 접근하고 Windows 10 및 Windows 11 사용자를 추가로 공격합니다. 이 캠페인은 Internet Explorer와 같은 구식 Windows 구성 요소가 비록 철지난 것으로 간주되지만 여전히 악성코드의 중요한 공격 벡터로 남아 있다는 점을 강조합니다. 흥미롭게도, Trend Micro의 발견은 2023년 1월에 캠페인과 관련된 유사한 .URL 파일을 확인한 Check Point의 보고서 와 겹칩니다.

감염 과정은 일반적으로 파일 공유 플랫폼에 있는 ZIP 파일 링크가 포함된 피싱 이메일로 시작합니다. 이러한 ZIP 파일은 CVE-2024-38112을 악용하는 .URL 파일을 포함하여 피해자를 악의적인 HTML 애플리케이션(HTA)이 포함된 손상된 웹페이지에 접근하도록 속입니다. HTA 파일이 열리면 VBS 스크립트를 실행하고, 이러한 스크립트는 PowerShell 스크립트를 시작하여 .NET 로더를 가져옵니다. 이 로더는 RegAsm.exe 프로세스 내에서 작동하며, 최종적으로 Atlantida 스틸러를 배포합니다.

Microsoft의 패치 화요일 업데이트가 CVE-2024-38112 문제를 해결한 이후에도 공격자들은 악의적인 활동을 지속했습니다. 이 취약점은 인터넷 익스플로러의 MSHTML 브라우저 엔진의 스푸핑 문제에 대한 것으로, 최신 패치에서 해결되었습니다. 2022년 6월 15일 Internet Explorer의 지원이 종료되고 Windows 11 및 최신 Windows 10 버전에서 공식적으로 비활성화되었음에도 불구하고, 공격자들은 시스템에 여전히 남아 있는 브라우저 부분을 악용했습니다. 이 위협의 심각성이 Microsoft의 7월 업데이트에서 지속적인 악용을 인정하며 명백해졌고, 이에 따라 CISA는 이 결함을 21일 내에 모든 미국 연방 기관에서 해결해야 하는 ‘Known Exploited Vulnerabilities (KEV)’ 카탈로그에 추가했습니다.

Void Banshee APT는 대부분 미국, 아시아, 유럽에 걸쳐 있는 피해자들에게 집중적으로 공격을 가하며, 대부분의 공격은 Atlantida 스틸러 배포에 초점을 맞춰 웹 브라우저를 포함한 다양한 애플리케이션에서 민감한 데이터와 자격 증명을 훔치는 것을 목표로 합니다.

전 세계적으로 APT 행위자들에 의한 위협이 증가함에 따라, 공격자들이 최신 취약점을 신속히 무기로 삼을 수 있는 상황에서, 보안 전문가는 잠재적 침입을 가능한 한 빨리 식별하기 위해 고급 위협 탐지 및 수색 도구가 필요합니다. 이러한 필요를 충족시키기 위해 SOC Prime의 완전한 제품군 을 활용하여, AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 통해 사이버 방어의 맹점을 적시에 식별하고 대처하여 새롭게 떠오르는 위협을 선제적으로 탐색하고 탐지 노력을 우선 순위에 맞추어 공격자보다 한 걸음 앞서십시오.