تستغل Void Banshee APT ثغرة Microsoft MHTML لنشر برنامج Atlantida Stealer
تسمى مجموعة التهديد المستمر المتقدم (APT). باطلة بانشي تمت ملاحظة استغلال ثغرة أمنية تم الكشف عنها مؤخرًا في محرك متصفح Microsoft MHTML كيوم صفر لتقديم سارق معلومات يسمى أتلانتيدا.
شركة الأمن السيبراني Trend Micro، التي لاحظت النشاط في منتصف مايو 2024، تم استخدام الثغرة الأمنية – التي تم تتبعها باسم CVE-2024-38112 – كجزء من سلسلة هجوم متعددة المراحل باستخدام ملفات اختصار الإنترنت (URL) المصممة خصيصًا.
“كانت الإصدارات المختلفة من حملة Atlantida نشطة للغاية طوال عام 2024 وتطورت لاستخدام CVE-2024-38112 كجزء من سلاسل عدوى Void Banshee،” هذا ما قاله الباحثان الأمنيان Peter Girnus وAliakbar Zahravi. قال. “إن قدرة مجموعات APT مثل Void Banshee على استغلال الخدمات المعطلة مثل [Internet Explorer] يشكل تهديدا كبيرا للمنظمات في جميع أنحاء العالم.”
تتوافق النتائج مع الإفصاحات السابقة من Check Point، التي أخبرت The Hacker News عن حملة تستفيد من نفس العيب لتوزيع المادة المسروقة. تجدر الإشارة إلى أن Microsoft تمت معالجة CVE-2024-38112 كجزء من تحديثات Patch Tuesday الأسبوع الماضي.
تم وصف CVE-2024-38112 بواسطة صانع Windows على أنه ثغرة أمنية انتحالية في محرك متصفح MSHTML (المعروف أيضًا باسم Trident) المستخدم في متصفح Internet Explorer المتوقف الآن. ومع ذلك، أكدت مبادرة Zero Day (ZDI) أن هذا خطأ في تنفيذ التعليمات البرمجية عن بعد.
“ماذا يحدث عندما يذكر البائع أن الإصلاح يجب أن يكون تحديثًا دفاعيًا متعمقًا بدلاً من مكافحة التطرف العنيف الكامل؟”، داستن تشايلدز من ZDI أشار. “ماذا يحدث عندما يذكر البائع أن التأثير هو انتحال ولكن الخطأ يؤدي إلى تنفيذ تعليمات برمجية عن بعد؟”
تتضمن سلاسل الهجوم استخدام رسائل البريد الإلكتروني التصيدية التي تتضمن روابط لملفات أرشيف ZIP المستضافة على مواقع مشاركة الملفات، والتي تحتوي على ملفات URL التي تستغل CVE-2024-38112 لإعادة توجيه الضحية إلى موقع مخترق يستضيف تطبيق HTML ضار (HTA). .
يؤدي فتح ملف HTA إلى تنفيذ برنامج Visual Basic Script (VBS) الذي يقوم بدوره بتنزيل وتشغيل البرنامج النصي PowerShell المسؤول عن استرداد محمل طروادة .NET، والذي يستخدم في النهاية مشروع Donut shellcode لفك تشفير وتنفيذ برنامج سرقة Atlantida داخل ذاكرة عملية RegAsm.exe.
أتلانتيدا، على غرار برامج سرقة مفتوحة المصدر مثل نيكروستيلر و المفترسTheStealerتم تصميمه لاستخراج الملفات ولقطات الشاشة وتحديد الموقع الجغرافي والبيانات الحساسة من متصفحات الويب والتطبيقات الأخرى، بما في ذلك Telegram وSteam وFileZilla ومحافظ العملات المشفرة المختلفة.
وقال الباحثون: “باستخدام ملفات URL المصممة خصيصًا والتي تحتوي على معالج بروتوكول MHTML وتوجيه x-usc!، تمكن Void Banshee من الوصول إلى ملفات تطبيق HTML (HTA) وتشغيلها مباشرة من خلال عملية IE المعطلة”.
“طريقة الاستغلال هذه مشابهة لـ CVE-2021-40444، وهي ثغرة أمنية أخرى في MSHTML تم استخدامها في هجمات اليوم صفر.”
لا يُعرف الكثير عن Void Banshee بخلاف حقيقة أن لها تاريخًا في استهداف مناطق أمريكا الشمالية وأوروبا وجنوب شرق آسيا لسرقة المعلومات وتحقيق مكاسب مالية.
ويأتي هذا التطوير في الوقت الذي كشفت فيه Cloudflare أن الجهات الفاعلة في مجال التهديد تقوم بسرعة بدمج ثغرات إثبات المفهوم (PoC) في ترسانتها، وأحيانًا بسرعة تصل إلى 22 دقيقة بعد إصدارها للعامة، كما لوحظ في حالة CVE-2024-27198.
“إن سرعة استغلال التهديدات الخطيرة التي تم الكشف عنها غالبًا ما تكون أسرع من السرعة التي يمكن بها للبشر إنشاء قواعد WAF أو إنشاء ونشر تصحيحات للتخفيف من الهجمات،” شركة البنية التحتية للويب قال.
ويأتي ذلك أيضًا بعد اكتشاف حملة جديدة تستفيد من إعلانات Facebook التي تروج لموضوعات Windows المزيفة لتوزيع أداة سرقة أخرى تُعرف باسم SYS01stealer والتي تهدف إلى اختطاف حسابات Facebook التجارية ونشر البرامج الضارة بشكل أكبر.
“نظرًا لكونه أداة لسرقة المعلومات، يركز SYS01 على سرقة بيانات المتصفح مثل بيانات الاعتماد والسجل وملفات تعريف الارتباط،” Trustwave قال. “يركز جزء كبير من حمولتها على الحصول على رموز الوصول لحسابات فيسبوك، وتحديدًا الحسابات التجارية على فيسبوك، والتي يمكن أن تساعد الجهات الفاعلة في التهديد في نشر البرامج الضارة.”
إرسال التعليق