Gelişmiş kalıcı tehdit (APT) grubu Boşluk Banshee Microsoft MHTML tarayıcı motorunda yakın zamanda ortaya çıkan bir güvenlik açığını sıfır günlük bir güvenlik açığı olarak kullanarak Atlantida adlı bir bilgi hırsızını dağıtmaya çalıştığı gözlemlendi.
Siber güvenlik firması Trend Micro, Mayıs 2024 ortasında faaliyeti gözlemlediğinde, CVE-2024-38112 olarak izlenen güvenlik açığının, özel olarak hazırlanmış internet kısayolu (URL) dosyalarını kullanan çok aşamalı bir saldırı zincirinin parçası olarak kullanıldığını tespit etti.
“Atlantida kampanyasının varyasyonları 2024 boyunca oldukça aktifti ve Void Banshee enfeksiyon zincirlerinin bir parçası olarak CVE-2024-38112’yi kullanacak şekilde evrimleşti,” dedi güvenlik araştırmacıları Peter Girnus ve Aliakbar Zahravi. “Void Banshee gibi APT gruplarının, [Internet Explorer] “Dünya çapındaki kuruluşlar için önemli bir tehdit oluşturmaktadır.”
Bulgular, The Hacker News’e hırsızı dağıtmak için aynı eksikliği kullanan bir kampanyadan bahseden Check Point’in önceki açıklamalarıyla örtüşüyor. Microsoft’un geçen haftaki Patch Tuesday güncellemelerinin bir parçası olarak CVE-2024-38112’yi ele aldığını belirtmekte fayda var.
CVE-2024-38112, Windows üreticisi tarafından artık kullanımdan kaldırılan Internet Explorer tarayıcısında kullanılan MSHTML (diğer adıyla Trident) tarayıcı motorunda bir sahtecilik açığı olarak tanımlanmıştır. Ancak Zero Day Initiative (ZDI) bunun uzaktan kod yürütme hatası olduğunu ileri sürmüştür.
“Satıcı, düzeltmenin tam bir CVE yerine derinlemesine bir savunma güncellemesi olması gerektiğini belirttiğinde ne olur?” diye belirtti ZDI’dan Dustin Childs. “Satıcı, etkinin sahtecilik olduğunu ancak hatanın uzaktan kod yürütülmesiyle sonuçlandığını belirttiğinde ne olur?”
Saldırı zincirleri, dosya paylaşım sitelerinde barındırılan ZIP arşiv dosyalarına bağlantılar ekleyen hedefli kimlik avı e-postalarının kullanımını içerir. Bu dosyalar, kurbanı kötü amaçlı bir HTML Uygulaması (HTA) barındıran tehlikeye atılmış bir siteye yönlendirmek için CVE-2024-38112’yi kullanan URL dosyaları içerir.
HTA dosyasının açılması, bir Visual Basic Script’inin (VBS) yürütülmesiyle sonuçlanır; bu da, .NET Truva atı yükleyicisini almaktan sorumlu bir PowerShell betiğini indirir ve çalıştırır; bu da nihayetinde Atlantida hırsızını RegAsm.exe işlem belleğinin içinde şifresini çözmek ve çalıştırmak için Donut kabuk kodu projesini kullanır.
NecroStealer ve PredatorTheStealer gibi açık kaynaklı hırsızlar örnek alınarak tasarlanan Atlantida, Telegram, Steam, FileZilla ve çeşitli kripto para cüzdanları da dahil olmak üzere web tarayıcılarından ve diğer uygulamalardan dosya, ekran görüntüsü, coğrafi konum ve hassas verileri çıkarmak için tasarlandı.
Araştırmacılar, “MHTML protokol işleyicisini ve x-usc! yönergesini içeren özel olarak hazırlanmış URL dosyalarını kullanarak Void Banshee, devre dışı bırakılmış IE işlemi üzerinden doğrudan HTML Uygulama (HTA) dosyalarına erişebildi ve bunları çalıştırabildi” dedi.
“Bu istismar yöntemi, sıfırıncı gün saldırılarında kullanılan bir diğer MSHTML güvenlik açığı olan CVE-2021-40444’e benziyor.”
Void Banshee hakkında Kuzey Amerika, Avrupa ve Güneydoğu Asya bölgelerini bilgi hırsızlığı ve maddi kazanç amacıyla hedef alma geçmişi dışında pek bir şey bilinmiyor.
Gelişme, Cloudflare’in tehdit aktörlerinin, CVE-2024-27198 örneğinde görüldüğü gibi, kamuoyuna açıklandıktan 22 dakika sonra bile kanıt kavramı (PoC) istismarlarını cephaneliklerine hızla dahil etmeye başladığını ortaya koymasının ardından geldi.
Web altyapı şirketi, “Açıklanan CVE’lerin istismar edilme hızı, insanların WAF kuralları oluşturma veya saldırıları azaltmak için yamalar oluşturma ve dağıtma hızından genellikle daha hızlıdır” dedi.
Ayrıca, Facebook reklamlarını kullanarak sahte Windows temaları tanıtan ve SYS01stealer olarak bilinen başka bir hırsızlığı dağıtan yeni bir kampanyanın keşfedilmesinin ardından, Facebook işletme hesaplarını ele geçirmeyi ve kötü amaçlı yazılımı daha da yaymayı hedefliyor.
“Bir bilgi hırsızı olan SYS01, kimlik bilgileri, geçmiş ve çerezler gibi tarayıcı verilerini sızdırmaya odaklanıyor,” dedi Trustwave. “Yükünün büyük bir kısmı, özellikle Facebook işletme hesaplarına sahip olan Facebook hesapları için erişim belirteçleri elde etmeye odaklanıyor ve bu da tehdit aktörlerinin kötü amaçlı yazılımı yaymasına yardımcı olabilir.”