Gelişmiş kalıcı tehdit (APT) grubunun, Microsoft’un yama uygulanmamış sıfır günlük açığını nasıl istismar ettiğine dair yeni ayrıntılar ortaya çıktı yemleme kancası Çeşitli uygulamalardan şifreler ve çerezler gibi sistem bilgilerini ve hassas verileri çalan Atlantida Stealer’ı yayma kampanyası.
A Blog yazısı Trend Micro tarafından 15 Temmuz’da yayınlanan, Void Banshee olarak adlandırılan ve açığı kullanan APT’nin nasıl çalıştığına dair yeni ışık tutuyor ((CVE-2024-38112)Kuzey Amerika, Avrupa ve Güneydoğu Asya’daki kurbanlara karşı. Hata, artık emekliye ayrılmış Internet Explorer (IE) tarayıcısı için MSHTML (Trident) motorunda mevcuttur, ancak IE devre dışı bırakılmış veya varsayılan tarayıcı olmasa bile kurbanın makinesinde istismar edilebilir.
Trend Micro kıdemli tehdit araştırmacısı Peter Girnus ve kötü amaçlı yazılım tersine mühendisi Aliakbar Zahravi, gönderide IE’nin “tarihsel olarak geniş bir saldırı alanı olmasına rağmen artık herhangi bir güncelleme veya güvenlik düzeltmesi almaması” göz önüne alındığında bunun “endişe verici” bir saldırı olduğunu yazdı.
Araştırmacılar, Void Banshee kampanyasının kurbanları, bulut paylaşım siteleri, Discord sunucuları ve çevrimiçi kütüphaneler gibi sektörler aracılığıyla yayılan kitap PDF’leri gibi gizlenmiş kötü amaçlı dosyalar içeren zip arşivleri aracılığıyla cezbettiğini buldu. Bu, hem bilgi çalma hem de maddi kazanç için kurbanları hedef alma eğiliminde olan grubun tipik bir taktiğidir, diye belirttiler.
“[Atlantida] Araştırmacılar, “kötü amaçlı yazılım, şifreler ve çerezler gibi depolanmış hassas ve potansiyel olarak değerli verileri çıkarmaya odaklanır ve ayrıca enfekte sistemin masaüstünden belirli uzantılara sahip dosyaları da toplayabilir” diye yazdı. “Dahası, kötü amaçlı yazılım kurbanın ekranını yakalar ve kapsamlı sistem bilgileri toplar.”
Sıfır Gün Sömürüsüne İlişkin Yeni Ayrıntılar
Ayrı olarak, güvenlik araştırmacıları zaten ortaya çıkarmıştı IE’deki bu açığın, Microsoft’un yamasıyla düzeltildiği ve kimliği belirsiz tehdit gruplarının bu açığı istismar ettiği ortaya çıktı. Temmuz Yama Salı güncellemesi— Atlantida ve diğer kötü amaçlı yazılımları kötü amaçlı PDF dosyalarında yaymak.
Microsoft, CVE-2024-38112’yi, başarılı bir şekilde istismar edilirse sistem gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek bir etkiye sahip olabilecek bir sahtecilik güvenlik açığı olarak tanımladı, ancak CVSS güvenlik açığı-önem ölçeğinde ona yalnızca 10 üzerinden 7,5’lik orta derecede yüksek bir önem derecesi verdi. Bunun nedeni, bir saldırının başarılı olması için saldırganın, diğer faktörlerin yanı sıra, kurbanı silahlandırılmış URL dosyasıyla etkileşime girmeye ikna etmesi gerekmesidir.
Trend Micro’nun raporunda, Void Banshee’nin Windows kullanıcılarını, bir kimlik avı kampanyasında hedef kitleyi, bir kitabın PDF kopyalarına benzeyen URL kısayol dosyalarını (özellikle “Klinik Anatomi” gibi ders kitapları ve referans materyalleri) açmaya ikna ederek bunu nasıl başardığına dair yeni ayrıntılar yer alıyor.
Araştırmacılar, “Bu, kampanyanın, sıklıkla referans materyalleri ve kitapların dijital kopyalarının toplandığı yerleri kullanan yüksek vasıflı profesyonelleri ve öğrencileri hedef aldığını gösteriyor” diye yazdı.
CVE-2024-38112 Kullanım ve Yük Davranışı
Daha önce açıklanan bir saldırı vektörü Check Point güvenlik araştırmacısı Haifei Li kötü amaçlı kısayolların, varsayılan tarayıcı olmasa bile, Chrome veya Edge gibi daha güvenli bir tarayıcı yerine işlevsiz tarayıcıyı çağırarak saldırgan tarafından kontrol edilen bir URL’yi açmak için IE’yi nasıl kullanabileceğini ayrıntılı olarak açıkladı. Vektör, kullanıcılar için güvenli görünen PDF belgelerinde tehlikeli HTML uygulama (HTA) dosyalarını gizledi.
Trend Micro’nun raporu, Void Banshee’nin bunu, MHTML protokol işleyicisini ve x-usc! yönergesini içeren URL dosyalarını dağıtarak nasıl yaptığını açıklıyor; bu, grubun devre dışı bırakılmış IE işlemi aracılığıyla HTA dosyalarına erişmesine ve bunları çalıştırmasına izin veriyor. Bir kurban zararsız bir PDF gibi görünen bir şeyi açtığında, bunun yerine URL hedefini iexplore.exe işlemi aracılığıyla yerel IE’de açıyor.
Araştırmacılar, “CVE-2024-38112’yi kullanan İnternet kısayolu dosyası, bir HTML dosyasının enfeksiyon zincirinin HTA aşamasını indirdiği saldırgan tarafından kontrol edilen bir etki alanına işaret ediyor,” diye açıkladı. “Bu HTML dosyasını kullanarak, saldırgan ayrıca web sitesinin pencere görünüm boyutunu IE aracılığıyla kontrol edebilir. Bu, tehdit aktörü tarafından tarayıcı bilgilerini gizlemek ve enfeksiyon zincirinin bir sonraki aşamasının kurbandan indirilmesini maskelemek için kullanılır.”
Bahsedildiği gibi, saldırı nihayetinde açık kaynaklı hırsızlar NecroStealer ve PredatorTheStealer’dan oluşturulan Atlantida hırsızını ele geçiriyor. Telegram, Steam, FileZilla, çeşitli kripto para cüzdanları ve Web tarayıcıları dahil olmak üzere çeşitli uygulamalardan hassas bilgileri hedefliyor. Daha sonra kötü amaçlı yazılım çalınan verileri bir zip dosyasına sıkıştırıyor ve TCP portu 6655 üzerinden saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sitesine geri gönderiyor.
IE Gibi “Zombi Kalıntıları” Tehlikeli Olmaya Devam Ediyor
Trend Micro’ya göre, CVE-2024-38112’ye yönelik saldırılar genel olarak, IE gibi artık desteklenmeyen veya bir kuruluşta aktif olarak kullanılmayan bir teknolojinin bile hâlâ büyük bir tehdit oluşturabileceğini gösteriyor.
“Kullanıcılar artık IE’ye erişemese bile, tehdit aktörleri hala bu erişimi istismar edebilir Kalan Windows kalıntıları Araştırmacılar, “Kullanıcıları ve kuruluşları fidye yazılımları, arka kapılar veya diğer kötü amaçlı yazılım türlerini çalıştırmak için bir proxy olarak makinelerinde IE benzeri bir tarayıcı kullanıyorlar” diye yazdı.
Ayrıca, tehdit aktörlerinin, Microsoft Edge için IE modu gibi modern Web deneme ortamlarını atlatmak için desteklenmeyen ve devre dışı bırakılmış sistem hizmetlerine erişme yeteneğinin “sektörde önemli bir endişe” yarattığını yazdılar.
Kusuru yamamak, mevcut sömürüyü engellemenin en belirgin yoludur. IE sorunuAraştırmacılar, Trend Micro’nun ayrıca MITRE ATT&CK tekniklerinin bir listesini de eklediğini belirtti. uzlaşma göstergelerine (IoC’ler) bir bağlantı yazısında.
Trend Micro’ya göre, kuruluşlar proaktif bir yaklaşım benimsemeli ve gelişmiş tehdit istihbaratı kullanmanın yanı sıra, potansiyel kusurlar ve potansiyel olarak istismar edilebilecek diğer saldırı yüzeyleri için tarama yazılımlarını ve diğer kurumsal ağ varlıklarını sürekli izleyen bir güvenlik duruşu benimsemelidir.