{"id":1240647,"date":"2024-07-16T07:18:03","date_gmt":"2024-07-16T09:18:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lapt-void-banshee-exploite-une-faille-mhtml-de-microsoft-pour-diffuser-atlantida-stealer\/"},"modified":"2024-07-16T07:18:08","modified_gmt":"2024-07-16T09:18:08","slug":"lapt-void-banshee-exploite-une-faille-mhtml-de-microsoft-pour-diffuser-atlantida-stealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lapt-void-banshee-exploite-une-faille-mhtml-de-microsoft-pour-diffuser-atlantida-stealer\/","title":{"rendered":"L&#8217;APT Void Banshee exploite une faille MHTML de Microsoft pour diffuser Atlantida Stealer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des donn\u00e9es \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/LAPT-Void-Banshee-exploite-une-faille-MHTML-de-Microsoft-pour.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un groupe de menaces persistantes avanc\u00e9es (APT) appel\u00e9 <strong>Banshee du vide<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le moteur de navigateur Microsoft MHTML comme une faille zero-day pour fournir un voleur d&#8217;informations appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/01\/17\/whispers-of-atlantida-safeguarding-your-digital-treasure\/\" target=\"_blank\">Atlantide<\/a>.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro, qui a observ\u00e9 l&#8217;activit\u00e9 \u00e0 la mi-mai 2024, a constat\u00e9 que la vuln\u00e9rabilit\u00e9 &#8211; identifi\u00e9e comme CVE-2024-38112 &#8211; a \u00e9t\u00e9 utilis\u00e9e dans le cadre d&#8217;une cha\u00eene d&#8217;attaque en plusieurs \u00e9tapes utilisant des fichiers de raccourcis Internet (URL) sp\u00e9cialement con\u00e7us.<\/p>\n<p>\u00ab Les variantes de la campagne Atlantida ont \u00e9t\u00e9 tr\u00e8s actives tout au long de 2024 et ont \u00e9volu\u00e9 pour utiliser CVE-2024-38112 dans le cadre des cha\u00eenes d&#8217;infection Void Banshee \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Peter Girnus et Aliakbar Zahravi. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/g\/CVE-2024-38112-void-banshee.html\" target=\"_blank\">dit<\/a>. \u00ab La capacit\u00e9 des groupes APT comme Void Banshee \u00e0 exploiter les services d\u00e9sactiv\u00e9s tels que [Internet Explorer] repr\u00e9sente une menace importante pour les organisations du monde entier.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Ces r\u00e9sultats concordent avec les r\u00e9v\u00e9lations ant\u00e9rieures de Check Point, qui a d\u00e9clar\u00e9 \u00e0 The Hacker News qu&#8217;une campagne exploitant la m\u00eame faille pour diffuser le voleur avait \u00e9t\u00e9 lanc\u00e9e. Il convient de noter que le CVE-2024-38112 a \u00e9t\u00e9 trait\u00e9 par Microsoft dans le cadre des mises \u00e0 jour du Patch Tuesday de la semaine derni\u00e8re.<\/p>\n<p>Le fabricant de Windows a d\u00e9crit la faille CVE-2024-38112 comme une vuln\u00e9rabilit\u00e9 d&#8217;usurpation d&#8217;identit\u00e9 dans le moteur de navigation MSHTML (alias Trident) utilis\u00e9 dans le navigateur Internet Explorer, aujourd&#8217;hui abandonn\u00e9. Cependant, la Zero Day Initiative (ZDI) a affirm\u00e9 qu&#8217;il s&#8217;agissait d&#8217;une faille d&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>\u00ab Que se passe-t-il lorsque le fournisseur d\u00e9clare que le correctif doit \u00eatre une mise \u00e0 jour de d\u00e9fense en profondeur plut\u00f4t qu&#8217;un CVE complet ? \u00bb, Dustin Childs de ZDI <a rel=\"nofollow noopener\" href=\"https:\/\/www.zerodayinitiative.com\/blog\/2024\/7\/15\/uncoordinated-vulnerability-disclosure-the-continuing-issues-with-cvd\" target=\"_blank\">soulign\u00e9<\/a>\u00ab Que se passe-t-il lorsque le fournisseur d\u00e9clare que l&#8217;impact est une usurpation d&#8217;identit\u00e9, mais que le bogue entra\u00eene l&#8217;ex\u00e9cution de code \u00e0 distance ? \u00bb<\/p>\n<p>Les cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation d&#8217;e-mails de spear-phishing int\u00e9grant des liens vers des fichiers d&#8217;archive ZIP h\u00e9berg\u00e9s sur des sites de partage de fichiers, qui contiennent des fichiers URL qui exploitent CVE-2024-38112 pour rediriger la victime vers un site compromis h\u00e9bergeant une application HTML malveillante (HTA).<\/p>\n<p>L&#8217;ouverture du fichier HTA entra\u00eene l&#8217;ex\u00e9cution d&#8217;un script Visual Basic (VBS) qui, \u00e0 son tour, t\u00e9l\u00e9charge et ex\u00e9cute un script PowerShell charg\u00e9 de r\u00e9cup\u00e9rer un chargeur de chevaux de Troie .NET, qui utilise finalement le projet de shellcode Donut pour d\u00e9crypter et ex\u00e9cuter le voleur Atlantida dans la m\u00e9moire du processus RegAsm.exe.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/LAPT-Void-Banshee-exploite-une-faille-MHTML-de-Microsoft-pour.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/LAPT-Void-Banshee-exploite-une-faille-MHTML-de-Microsoft-pour.png\" alt=\"D\u00e9faut MHTML de Microsoft\" border=\"0\" data-original-height=\"3720\" data-original-width=\"6132\" title=\"D\u00e9faut MHTML de Microsoft\"\/><\/a><\/div>\n<p>Atlantida, calqu\u00e9 sur des voleurs open source comme <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/SecUser1\/Necro-Stealer\" target=\"_blank\">N\u00e9crovoleur<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/SecUser1\/PredatorTheStealer\" target=\"_blank\">PredatorLe Voleur<\/a>est con\u00e7u pour extraire des fichiers, des captures d&#8217;\u00e9cran, la g\u00e9olocalisation et des donn\u00e9es sensibles des navigateurs Web et d&#8217;autres applications, notamment Telegram, Steam, FileZilla et divers portefeuilles de crypto-monnaie.<\/p>\n<p>\u00ab En utilisant des fichiers URL sp\u00e9cialement con\u00e7us contenant le gestionnaire de protocole MHTML et la directive x-usc!, Void Banshee a pu acc\u00e9der et ex\u00e9cuter des fichiers d&#8217;application HTML (HTA) directement via le processus IE d\u00e9sactiv\u00e9 \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab Cette m\u00e9thode d&#8217;exploitation est similaire \u00e0 CVE-2021-40444, une autre vuln\u00e9rabilit\u00e9 MSHTML qui a \u00e9t\u00e9 utilis\u00e9e dans des attaques zero-day. \u00bb<\/p>\n<p>On ne sait pas grand-chose sur Void Banshee, \u00e0 part le fait qu&#8217;il a pour habitude de cibler les r\u00e9gions d&#8217;Am\u00e9rique du Nord, d&#8217;Europe et d&#8217;Asie du Sud-Est pour le vol d&#8217;informations et le gain financier.<\/p>\n<p>Cette \u00e9volution intervient alors que Cloudflare a r\u00e9v\u00e9l\u00e9 que les acteurs de la menace int\u00e8grent rapidement des exploits de preuve de concept (PoC) dans leur arsenal, parfois aussi rapidement que 22 minutes apr\u00e8s leur publication publique, comme observ\u00e9 dans le cas de CVE-2024-27198.<\/p>\n<p>\u00ab La vitesse d&#8217;exploitation des CVE divulgu\u00e9s est souvent plus rapide que la vitesse \u00e0 laquelle les humains peuvent cr\u00e9er des r\u00e8gles WAF ou cr\u00e9er et d\u00e9ployer des correctifs pour att\u00e9nuer les attaques \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 d&#8217;infrastructure Web <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cloudflare.com\/application-security-report-2024-update\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;une nouvelle campagne qui exploite les publicit\u00e9s Facebook faisant la promotion de faux th\u00e8mes Windows pour distribuer un autre voleur connu sous le nom de SYS01stealer qui vise \u00e0 d\u00e9tourner les comptes professionnels Facebook et \u00e0 propager davantage le malware.<\/p>\n<p>\u00ab En tant que voleur d&#8217;informations, SYS01 se concentre sur l&#8217;exfiltration des donn\u00e9es du navigateur telles que les informations d&#8217;identification, l&#8217;historique et les cookies \u00bb, a d\u00e9clar\u00e9 Trustwave <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/facebook-malvertising-epidemic-unraveling-a-persistent-threat-sys01\/\" target=\"_blank\">dit<\/a>\u00ab Une grande partie de sa charge utile est ax\u00e9e sur l&#8217;obtention de jetons d&#8217;acc\u00e8s pour les comptes Facebook, en particulier ceux disposant de comptes professionnels Facebook, ce qui peut aider les acteurs de la menace \u00e0 propager le malware. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/void-banshee-apt-exploits-microsoft.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 juillet 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des donn\u00e9es \/ Vuln\u00e9rabilit\u00e9 Un groupe de menaces persistantes avanc\u00e9es (APT) appel\u00e9 Banshee du vide a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le moteur de navigateur Microsoft MHTML comme une faille zero-day pour fournir un voleur d&#8217;informations appel\u00e9 Atlantide. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro, qui [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1240648,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,102616,143080,4168,4165,773,7727,9048,242001,238584,200271,242002,8362,238334,98340,185,238617,4172,4169,39577,196,4166,111285,238583],"class_list":["post-1240647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-atlantida","tag-banshee","tag-comment-pirater","tag-cyber-attaques","tag-diffuser","tag-exploite","tag-faille","tag-lapt","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mhtml","tag-microsoft","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-stealer","tag-une","tag-violation-de-donnees","tag-void","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1240647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1240647"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1240647\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1240648"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1240647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1240647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1240647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}