Araştırmacılar, Void Banshee tehdit grubu tarafından, Internet Explorer’ın devre dışı bırakılmış bir sürümü aracılığıyla Atlantida bilgi hırsızlığını dağıtmak için yakın zamanda düzenlenen bir kampanyada aktif olarak istismar edilen kritik bir güvenlik açığını (CVE-2024-38112) ortaya çıkardı.
Kampanya, modern sistemlerde eski yazılımların bakımının getirdiği güvenlik risklerine dikkat çekiyor.
Void Banshee Saldırı Zincirinin Anatomisi
Void Banshee grubu, kötü amaçlı dosyaları e-kitap olarak gizleyerek ve bunları bulut hizmetleri, Discord sunucuları ve çevrimiçi kütüphaneler aracılığıyla paylaşarak kurbanları cezbeder. Bir kullanıcı bu dosyalardan birini açtığında -genellikle PDF olarak gizlenen ve kötü amaçlı kısayol dosyaları içeren bir zip arşivi- sonunda Atlantida hırsızını yükleyen bir olaylar zincirini tetikler.
Trend Micro araştırmacıları, saldırı zincirinin PDF olarak gizlenmiş kötü amaçlı bir dosyanın bulunduğu bir zip arşivi içeren bir spearphishing e-postasıyla başladığını belirtti. “Books_A0UJKO.pdf.url” adlı dosya, CVE-2024-38112 güvenlik açığını istismar etmek için MHTML protokol işleyicisini ve x-usc! yönergesini kullanıyor.
Bu, saldırganın devre dışı bırakılmış IE işlemi aracılığıyla dosyalara erişmesine ve bunları yürütmesine olanak tanır. Kötü amaçlı dosya, bir HTML dosyası indirir ve bu da bir PowerShell betiğini şifresini çözen ve yürüten bir Visual Basic Script (VBScript) içeren bir HTA dosyası indirir.
PowerShell betiği, tehlikeye atılmış bir web sunucusundan ek bir betik indirir ve onu çalıştırır, indirilen betik için yeni bir işlem oluşturur. Bu betik, kurbanın sistemini tehlikeye atmak için kullanılabilen bir PowerShell trojanını indirmek ve çalıştırmak için tasarlanmıştır.
Kampanya, nihayetinde MHTML protokol işleyicisindeki güvenlik açığını kullanarak Internet Explorer’ın sistemdeki yerleşik devre dışı bırakılmış örneği üzerinden dosyalara erişir ve çalıştırır. Bu teknik normal güvenlik kontrollerini atlatır ve saldırganların Atlantida bilgi hırsızı kötü amaçlı yazılımını doğrudan kurbanın sisteminde yürütmesine olanak tanır.
Araştırmacılar, Atlantida’nın NecroStealer ve PredatorTheStealer gibi daha önceki açık kaynaklı hırsızlara dayandığını ve bu hırsızlarla aynı yeteneklerin çoğuna sahip olacak şekilde tasarlandığını belirtiyor.
Telegram, Steam, FileZilla, kripto para cüzdanları ve Chrome ve Microsoft Edge gibi web tarayıcıları da dahil olmak üzere çeşitli uygulamalardan hassas bilgileri hedef alarak şifreler ve çerezler gibi hassas ve önemli verileri sızdırıyor.
Kötü amaçlı yazılım, saldırganların kurbanların ekranlarını ele geçirmesine ve kripto para birimiyle ilişkili tarayıcı uzantılarından bilgi sızdırmasına olanak tanıyor; her uzantıyı benzersiz bir ‘Uzantı Kimliği’ ile kaydediyor. Saldırıdan sızdırılan veriler bir ZIP arşiv dosyası içinde sıkıştırılıyor ve TCP üzerinden iletiliyor.
Microsoft Yamalı Güvenlik Açığı
Araştırmacılar, açığı Microsoft’a bildirdi ve Microsoft, Temmuz 2024 güncelleme döngüsünde açığı düzelterek MHTML işleyicisini Internet Explorer’dan sildi. Ancak uzmanlar, birçok sistemin düzeltilmemiş ve savunmasız kalabileceği konusunda uyarıyor.
Bu ve benzeri saldırılara karşı korunmak için güvenlik uzmanları şunları öneriyor:
- Mevcut tüm Windows güvenlik güncelleştirmelerini derhal uygulayın
- Kötü amaçlı ekleri engellemek için sağlam e-posta filtrelemesi uygulama
- Kullanıcıları şüpheli dosyaları veya bağlantıları açmanın tehlikeleri konusunda eğitmek
- Bu tür saldırıları tespit edip engelleyebilen uç nokta koruma yazılımlarının dağıtılması
Siber suçlular eski sistemlerdeki gözden kaçan güvenlik açıklarını istismar etmeye devam ederken, CVE-2024-38112’nin keşfi kapsamlı güvenlik önlemlerinin ve zamanında yama yapmanın önemini sert bir şekilde hatırlatıyor.