行业新闻与博客
APT 组织 Void Banshee 利用 MHTML
安全专家在 MHTML 协议处理程序中发现了一个严重的远程代码执行 (RCE) 漏洞,编号为 CVE-2024-38112。
该漏洞被称为 ZDI-CAN-24433,是在 CVE-2024-38112 发现后报告给微软的(后来该科技巨头对其进行了修补),有证据表明该漏洞被高级持续威胁 (APT) 组织 Void Banshee 积极利用。
Void Banshee 以北美、欧洲和东南亚地区为目标,利用 CVE-2024-38112 作为复杂攻击链的一部分,旨在窃取敏感信息并获取经济利益。
此次攻击最终导致部署了 Atlantida 窃取程序,这是最初于 2024 年 1 月发现的恶意软件变种。在这一年中,该活动的变种愈演愈烈,并利用 CVE-2024-38112 来破坏系统。
通过互联网快捷方式 (.URL) 文件利用 MHTML 漏洞,Void Banshee 操纵 Windows 系统上已禁用的 Internet Explorer 实例,绕过安全措施并执行恶意负载,如 HTML 应用程序 (HTA)。
为了应对这一威胁,趋势科技于 2024 年 5 月中旬监控了不断发展的活动,利用内部和外部遥测技术来追踪 Void Banshee 的战术、技术和程序 (TTP)。
攻击者不仅利用了 MHTML 协议,还利用了 Microsoft 协议处理程序和 URI 方案,利用了现代 Windows 版本中存在的 Internet Explorer 残余(尽管该功能已正式停止使用并被禁用)。
CVE-2024-38112 的严重性促使 Microsoft 在 2024 年 7 月的补丁星期二周期中发布了一个补丁,该补丁有效地从 Internet Explorer 中取消注册了 MHTML 处理程序。这一关键步骤减轻了此漏洞带来的风险,防止通过 Internet 快捷方式文件进一步利用该漏洞。
趋势科技表示,此次事件凸显了人们对 Internet Explorer 等旧版组件被利用的持续担忧,尽管这些组件已被逐步淘汰,但在现代 Windows 环境中仍然存在潜在漏洞。
趋势科技表示:“由于 IE 等服务的攻击面很大,而且不再收到补丁,这对 Windows 用户来说是一个严重的安全隐患。”
“当面临不确定的入侵、行为和惯例时,组织应该假设他们的系统已经受到损害或破坏,并立即隔离受影响的数据或工具链。凭借更广阔的视角和快速响应,组织可以解决违规行为并保护 [其] 剩余系统。”
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服