Bilgisayar korsanları, sistemlere ve ağlara güçlü ve güvenilir erişim sağladıkları için meşru Uzaktan İzleme ve Yönetim (RMM) araçlarını hedef alırlar.
Bu, kötü amaçlı yazılımların bir kuruluşun altyapısı genelinde yaygın ve etkili bir şekilde dağıtılmasını kolaylaştırabilir.
CheckPoint’teki siber güvenlik araştırmacıları, yakın zamanda bilgisayar korsanlarının Internet Explorer’ın sıfır günlük açığını kullanarak Windows kullanıcılarına aktif olarak saldırdığını keşfetti.
Trend Micro, APT grubu Void Banshee tarafından istismar edilen bir MHTML uzaktan kod yürütme güvenlik açığı olan CVE-2024-38112’yi keşfetti.
Internet Explorer Sıfır Gün Güvenlik Açığı
Saldırı zinciri, devre dışı bırakılmış Internet Explorer’a erişmek ve kötü amaçlı kod çalıştırmak için internet kısayollarını ve MHTML de dahil olmak üzere Microsoft protokol işleyicilerini kötüye kullanıyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Bu güvenlik açığı, Ocak 2024’ten bu yana aktif olan, Kuzey Amerika, Avrupa ve Güneydoğu Asya’yı hedef alarak bilgi hırsızlığı ve maddi kazanç sağlamayı amaçlayan Atlantida hırsızını dağıtmak için kullanılıyor.
.webp)
Internet Explorer’ın (IE) resmi olarak desteğinin sona ermesine ve devre dışı bırakılmasına rağmen, kalıntıları modern Windows sistemlerinde varlığını sürdürüyor.
Void Banshee, devre dışı bırakılmış IE işlemi üzerinden HTA dosyalarına erişmek ve bunları çalıştırmak için MHTML protokol işleyicileri ve x-usc yönergeleri içeren özel hazırlanmış URL dosyalarını kullanarak, CVE-2021-40444’e benzer bir güvenlik açığı olan CVE-2024-38112’yi istismar etti.
Bu yöntem, IE’nin durdurulmasını atlatarak tarihsel olarak geniş saldırı yüzeyinden yararlanır. Microsoft, Temmuz 2024’te MHTML işleyicisini IE’den silerek bu güvenlik açığını düzeltti, raporda yer alıyor.
Void Banshee, yönetici profesyonellere ve öğrencilere PDF gibi gizlenmiş kötü amaçlı bir URL dosyası yerleştirerek CVE-2024-38112’yi istismar etti.
.webp)
Engelli Internet Explorer’a erişmek için bir HTA dosyası indirilir, VBScript çalıştırılır ve saldırı zincirinde MHTML protokol işleyicileri ve x-usc yönergeleri kullanılır.
Bu, Atlantida hırsızını RegAsm.exe’ye enjekte eden bir .NET Truva atı yükleyicisi olan LoadToBadXml’in çağrılmasıyla sonuçlanır.
.webp)
Açık kaynaklı hırsızlar tabanlı Atlantida’nın önemli koleksiyonu, çeşitli uygulamalardan, tarayıcılardan ve sistem konumlarından kapsamlı gizli verileri sıkıştırarak toplayıp TCP üzerinden saldırgana iletmeyi içeriyor.
Kötü amaçlı yazılım, toplanan tüm verileri bir ZIP dosyasına paketliyor ve ardından bunları TCP portu 6655 üzerinden saldırganın C&C sunucusuna bağlıyor.
Internet Explorer devre dışı bırakılmış olmasına rağmen saldırganlar, varlığını sürdüren bu tarayıcıyı kullanarak fidye yazılımları ve diğer tehlikeli yazılımları yüklüyor.
Void Banshee, önemli bir güvenlik endişesini vurgulamak için yama uygulanmamış hizmetleri kullanan bir APT grubunun örneğidir.
İhlallerin çözümü ve sistemlerin korunması için karmaşık güvenlik çözümleriyle birlikte hızlı yanıt süresi şiddetle tavsiye edilir.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo