Detectar exploração do CVE-2024-38112 pelo APT Void Banshee em ataques de zero-day que visam usuários do Windows
Índice:
Após a recente atualização do Patch Tuesday da Microsoft, que abordou a vulnerabilidade CVE-2024-38112, pesquisadores descobriram uma campanha sofisticada pelo APT Void Banshee. Esta campanha explora uma brecha de segurança no motor de navegador Microsoft MHTML através de ataques de dia zero para implantar o stealer Atlantida nos dispositivos das vítimas.
Detecção da Exploração CVE-2024-38113 pelo Void Banshee
No primeiro semestre de 2024, grupos de ameaças persistentes avançadas de diversas regiões, como China, Coreia do Norte, Irã e Rússia, revelaram técnicas ofensivas avançadas e inovadoras, intensificando significativamente o cenário global de cibersegurança. Em meio a tensões geopolíticas crescentes nos últimos anos, a ameaça colocada pelos APTs aumentou, tornando-se uma das principais preocupações para especialistas em cibersegurança. Esses adversários sofisticados estão aproveitando vulnerabilidades de dia zero, campanhas de spear-phishing e malware de ponta para infiltrar infraestruturas críticas, sistemas financeiros e redes governamentais, ressaltando a necessidade urgente de medidas defensivas reforçadas e colaboração internacional em cibersegurança.
A campanha recém-revelada pelo Void Banshee explora uma falha já corrigida para prosseguir com suas operações maliciosas, exigindo que os defensores cibernéticos estejam sempre em alerta contra ameaças emergentes. Para aprimorar a investigação de ameaças e ajudar equipes de segurança a identificar ciberataques ligados à campanha do Void Banshee em destaque, Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de regras Sigma selecionadas.
Pressione o Explorar Detecções botão abaixo e obtenha imediatamente um conjunto de regras abrangente abordando os ataques do APT Void Banshee que exploram o CVE-2024-38112.
Todas as regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake enquanto são mapeadas para o framework MITRE ATT&CK para facilitar os procedimentos de detecção e caça a ameaças. Além disso, cada regra é enriquecida com metadados detalhados, incluindo CTI referências, cronogramas de ataque e recomendações de triagem.
Análise do Ataque Void Banshee: Explorando o CVE-2024-38112 para Entrega de Malware
A mais recente investigação da Trend Micro lançou luz sobre a operação Void Banshee utilizando exploits do CVE-2024-28112 para entregar o stealther Atlantida em dispositivos Windows. A campanha, primeiro avistada em maio de 2024, envolve uma cadeia de ataque em múltiplas etapas baseando-se na falha para acessar e executar arquivos maliciosos através do navegador Internet Explorer (IE) desativado via arquivos de atalho de internet (URL) especialmente criados.
Particularmente, os adversários abusam de arquivos .URL e manipuladores de protocolo da Microsoft & esquemas de URI, incluindo o protocolo MHTML, para acessar o navegador IE desativado pelo sistema e, posteriormente, almejar usuários do Windows 10 e Windows 11. Esta campanha destaca como componentes desatualizados do Windows, como o Internet Explorer, apesar de serem considerados obsoletos, permanecem como um vetor de ataque significativo para malware. Curiosamente, as descobertas da Trend Micro coincidem com um relatório da Check Point, que identificou arquivos .URL semelhantes ligados à campanha já em janeiro de 2023.
O processo de infecção geralmente começa com e-mails de phishing apresentando links para arquivos ZIP em plataformas de compartilhamento de arquivos. Esses arquivos ZIP contêm arquivos .URL que exploram o CVE-2024-38112, enganando as vítimas a acessar uma página da web comprometida com um arquivo de Aplicativo HTML Malicioso (HTA). Quando o arquivo HTA é aberto, ele executa um script VBS, que então inicia um script PowerShell para buscar um carregador .NET. Este carregador opera dentro do processo RegAsm.exe, implantando, por fim, o stealther Atlantida.
Mesmo após a atualização do Patch Tuesday da Microsoft resolver o CVE-2024-38112, atacantes persistiram em suas atividades maliciosas. Esta vulnerabilidade, atribuída a um problema de falsificação no motor de navegador MSHTML do Internet Explorer agora extinto, foi abordada na última atualização. Apesar de o suporte ao Internet Explorer ter terminado em 15 de junho de 2022, e sua desativação oficial em versões mais recentes do Windows 10 e Windows 11, atacantes têm explorado remanescentes do navegador ainda presentes nos sistemas. A gravidade dessa ameaça tornou-se evidente quando a atualização de julho da Microsoft reconheceu explorações em andamento, levando a CISA a adicionar a falha ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com um requisito de remediação de 21 dias para todas as agências federais dos EUA.
O APT Void Banshee concentra-se principalmente em vítimas nos EUA, Ásia e Europa, com a maioria dos ataques focando na disseminação do stealther Atlantida, visando roubar dados sensíveis e informações de credenciais de várias aplicações, incluindo navegadores web.
Devido à ameaça crescente representada por atores APT globalmente, e numa visão os atacantes são capazes de armar rapidamente as vulnerabilidades mais recentes para novos ataques, profissionais de segurança precisam de ferramentas avançadas de detecção e caça a ameaças para identificar potenciais intrusões o mais cedo possível. Confie na completa suíte de produtos da SOC Prime para Engenharia de Detecção com IA, Caça a Ameaças Automatizada e Validação de Pilha de Detecção para identificar e abordar pontualmente lacunas na defesa cibernética, caçar proativamente ameaças emergentes, e priorizar os esforços de detecção, garantindo que você fique um passo à frente dos atacantes.
