Trend Micro’nun Zero Day Initiative’indeki tehdit avcıları, yakın zamanda yamalanan bir Windows MSHTML güvenlik açığı olan CVE-2024-38112’yi kullanmak için kullanılan sıfırıncı gün açığının, Kuzey Amerika, Avrupa ve Güneydoğu Asya’daki hedeflere kötü amaçlı yazılım göndermek için Void Banshee adlı bir APT grubu tarafından kullanıldığını paylaştı.
Void Banshee’nin CVE-2024-38112’yi nasıl kullandığı
Check Point araştırmacısı Haifei Li’nin daha önce açıkladığı gibi, saldırganlar güvenlik açığından yararlanmak için özel olarak hazırlanmış ancak PDF gibi görünen dosyalar kullandılar.
Trend Micro araştırmacıları, “Tehdit aktörü, MHTML protokol işleyicisini ve x-usc yönergelerini internet kısayolu (URL) dosyaları aracılığıyla kötüye kullanarak kötü amaçlı kod yürütmek için CVE-2024-38112’yi kullandı. Bu tekniği kullanarak, tehdit aktörü Windows makinelerinde devre dışı bırakılmış Internet Explorer örneği aracılığıyla doğrudan dosyalara erişebildi ve bunları çalıştırabildi,” diye belirtti.
“Bu MHTML kod yürütme güvenlik açığı, kullanıcıları ve kuruluşları Atlantida kötü amaçlı yazılımıyla enfekte etmek için kullanıldı.”
Saldırı zinciri (Kaynak: Trend Micro)
Tehdit aktörleri, hedefleri PDF formatında kitap kopyaları içeren ZIP dosyalarına ve PDF olarak gizlenmiş kötü amaçlı dosyalara yönlendirmek için mızraklı kimlik avı taktikleri kullandı. ZIP dosyaları çevrimiçi kütüphanelerde, bulut paylaşım sitelerinde, Discord’da ve tehlikeye atılmış web sitelerinde barındırılıyordu.
Tehdit avcıları, “Void Banshee kampanyasına ilişkin analizimiz sırasında ortaya çıkardığımız bazı PDF tuzakları arasında ders kitapları ve Klinik Anatomi gibi referans materyalleri yer alıyor. Bu da kampanyanın, sıklıkla referans materyalleri ve kitapların dijital kopyalarının toplandığı yerleri kullanan yüksek becerili profesyonelleri ve öğrencileri hedef aldığını gösteriyor” diyor.
Kurbanlar PDF dosyalarını açtıklarını sanıyorlardı ancak aslında Internet Explorer tarayıcısının kalıntılarını tetikleyerek kötü amaçlı bir HTML Uygulaması barındıran tehlikeye atılmış bir web sitesine yönlendiren bir açığı kullanan bir internet kısayolu dosyasını çalıştırıyorlardı.
HTA dosyası, PowerShell’i kullanarak ek bir betiği indirip çalıştıran, bunun için yeni bir işlem oluşturan, ek trojan yükleyicileri indiren ve son olarak Atlantida hırsızını teslim eden bir Visual Basic Betiği içeriyordu.
“[The stealer] Telegram, Steam, FileZilla, çeşitli kripto para cüzdanları ve web tarayıcıları dahil olmak üzere çeşitli uygulamalardan hassas bilgileri hedef alıyor. Bu kötü amaçlı yazılım, parolalar ve çerezler gibi depolanan hassas ve potansiyel olarak değerli verileri çıkarmaya odaklanıyor ve ayrıca enfekte sistemin masaüstünden belirli uzantılara sahip dosyaları da toplayabilir” diye belirttiler.
“Ayrıca, kötü amaçlı yazılım kurbanın ekranını ele geçiriyor ve kapsamlı sistem bilgileri topluyor. Çalınan veriler daha sonra bir ZIP dosyasına sıkıştırılıyor ve TCP aracılığıyla saldırgana iletiliyor.”
Check Point’e göre Void Banshee, bir yıldan uzun süredir CVE-2024-38112 açığını kullanıyor.
Trend Micro tehdit avcıları, “Void Banshee gibi APT gruplarının IE gibi engelli servisleri istismar etme yeteneği, dünya çapındaki kuruluşlar için önemli bir tehdit oluşturuyor” dedi.
“IE gibi hizmetler büyük bir saldırı yüzeyine sahip olduğundan ve artık yama almadığından, Windows kullanıcıları için ciddi bir güvenlik endişesi oluşturuyor. Dahası, tehdit aktörlerinin Microsoft Edge için IE modu gibi modern web sandbox’larını atlatmak için desteklenmeyen ve devre dışı bırakılmış sistem hizmetlerine erişebilme yeteneği, önemli bir sektör endişesini vurguluyor.”
Microsoft koordineli güvenlik açığı ifşasında başarısız oluyor
Hem Check Point hem de Trend Micro araştırmacıları, Mayıs 2024 ortasında CVE-2024-38112’nin istismar edildiğini fark ettiler ve bulgularını Microsoft’a açıkladılar. Microsoft, Temmuz 2024 Salı Yaması’nda MHTML’nin artık internet kısayol dosyaları (.url) içinde kullanılamayacağını belirten güvenlik açığı için düzeltmeler yayınladı ve güvenlik açığının güvenlik uyarısında birincisine atıfta bulundu.
Ancak her iki şirket de Microsoft’un kendilerine herhangi bir bildirimde bulunmadan düzeltmeleri yayınlamasıyla şaşırdı.
“Bu ilk defa değil [Microsoft] Li, “Bize sorunu X ayında düzelteceklerini söylediler ancak bize haber vermeden düzeltmeyi daha erken yayınladılar” dedi ve “Koordineli açıklamanın sadece tek taraflı koordinasyon olamayacağını” belirtti.
ZDI’da tehdit farkındalığı başkanı Dustin Childs, araştırmacıların Microsoft’un iletişim eksikliğinden şikayet ettiği başka örneklere de dikkat çekerek, koordineli güvenlik açığı ifşa (CVD) sürecini araştırmacılar için sinir bozucu hale getirmenin Microsoft için olumsuz sonuçlar doğurabileceğini belirtti.
“Eğer bir ödül ödemesi teklif etmiyorsanız, araştırmacılarla koordinasyon sağlamıyorsanız veya onlara doğru şekilde kredi vermiyorsanız, neden dünyada birileri size hataları bildirsin ki?” diye sordu.
Koordineli güvenlik açığı ifşasının işe yaraması için her iki tarafın da (tedarikçiler ve araştırmacılar) belirli sorumlulukları olduğunu ve “tedarikçilerin öne çıkıp üzerlerine düşeni yapmalarının zamanı geldiğini” belirtti.