行業新聞與博客
APT 組織 Void Banshee 利用 MHTML
安全專家在 MHTML 協議處理程序中發現了一個嚴重的遠程代碼執行 (RCE) 漏洞,編號為 CVE-2024-38112。
該漏洞被稱為 ZDI-CAN-24433,是在 CVE-2024-38112 發現後報告給微軟的(後來該科技巨頭對其進行了修補),有證據表明該漏洞被高級持續威脅 (APT) 組織 Void Banshee 積極利用。
Void Banshee 以北美、歐洲和東南亞地區為目標,利用 CVE-2024-38112 作為複雜攻擊鏈的一部分,旨在竊取敏感信息並獲取經濟利益。
此次攻擊最終導致部署了 Atlantida 竊取程序,這是最初於 2024 年 1 月發現的惡意軟件變種。在這一年中,該活動的變種愈演愈烈,並利用 CVE-2024-38112 來破壞系統。
通過互聯網快捷方式 (.URL) 文件利用 MHTML 漏洞,Void Banshee 操縱 Windows 系統上已禁用的 Internet Explorer 實例,繞過安全措施並執行惡意負載,如 HTML 應用程序 (HTA)。
為了應對這一威脅,趨勢科技於 2024 年 5 月中旬監控了不斷發展的活動,利用內部和外部遙測技術來追蹤 Void Banshee 的戰術、技術和程序 (TTP)。
攻擊者不僅利用了 MHTML 協議,還利用了 Microsoft 協議處理程序和 URI 方案,利用了現代 Windows 版本中存在的 Internet Explorer 殘餘(儘管該功能已正式停止使用並被禁用)。
CVE-2024-38112 的嚴重性促使 Microsoft 在 2024 年 7 月的補丁星期二週期中發佈了一個補丁,該補丁有效地從 Internet Explorer 中取消註冊了 MHTML 處理程序。這一關鍵步驟減輕了此漏洞帶來的風險,防止通過 Internet 快捷方式文件進一步利用該漏洞。
趨勢科技表示,此次事件凸顯了人們對 Internet Explorer 等舊版組件被利用的持續擔憂,儘管這些組件已被逐步淘汰,但在現代 Windows 環境中仍然存在潛在漏洞。
趨勢科技表示:“由於 IE 等服務的攻擊面很大,而且不再收到補丁,這對 Windows 用户來説是一個嚴重的安全隱患。”
“當面臨不確定的入侵、行為和慣例時,組織應該假設他們的系統已經受到損害或破壞,並立即隔離受影響的數據或工具鏈。憑藉更廣闊的視角和快速響應,組織可以解決違規行為並保護 [其] 剩餘系統。”
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服