Desteklenen tüm Windows sürümlerini etkileyen Windows MSHTML platformu sahteciliği açığı CVE-2024-43461 yaygın olarak kullanıldı.
CVE-2024-43461, Void Banshee APT hacking grubunun saldırılarında kullanıldı. Trend Micro’nun araştırması, Void Banshee’nin zip arşivleri aracılığıyla kitap PDF’leri olarak gizlenmiş zararlı dosyaları yayarak insanları cezbettiğini iddia ediyor.
Bu dosyalar bulut paylaşım sitelerinde, Discord sunucularında ve çevrimiçi kütüphanelerde ve diğer yerlerde bulunabilir. Güneydoğu Asya, Avrupa ve Kuzey Amerika, Void Banshee’nin saldırılarının hedef aldığı başlıca bölgelerdir.
Microsoft, Cuma günü Eylül 2024 Salı Yaması’nın bir parçası olarak CVE-2024-43461’den bahsetti ve bunun saldırılarda kullanıldığını belirtti.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Vahşi Doğada İstismar Edilen Sıfır Gün Güvenlik Açığının Genel Görünümü
Void Banshee grubunun saldırı kampanyasında hem CVE-2024-43461 hem de Temmuz ayında çözülen CVE-2024-38112 güvenlik açığı kullanıldı.
Başlangıçta, saldırılarda Windows Internet Kısayolu (.url) dosyaları kullanıldı. Bu dosyalara tıklanması, saldırganların Microsoft Edge yerine artık kullanım dışı bırakılmış Internet Explorer’ı kullanarak çalıştırdığı kötü amaçlı bir web sitesini başlatmaya zorladı.
Kötü amaçlı sayfaya erişildiğinde en kısa sürede bir HTML Uygulama (HTA) dosyasının indirilmesi istendi.
HTA dosyasında, gizli verileri toplayan Atlantida info-stealer adlı kötü amaçlı yazılımın kurulumuna yönelik bir komut dosyası yer alıyordu.
Saldırganlar, dosya uzantısını taklit ederek ve onu bir .hta yürütülebilir dosyası yerine PDF dosyası gibi göstererek dosyanın gerçek yapısını gizlemeyi başardılar.
Saldırganlar, Windows MSHTML’deki bir güvenlik açığından yararlanarak HTA dosya uzantısını taklit ediyor.
Bu yöntem, “.hta” uzantısını kullanıcı görünümünden gizlemek için Braille boşluk karakterlerini (%E2%A0%80) kullanır.
Bu nedenle, kullanıcı sahte dosyaya eriştiğinde HTA dosyası yürütüldü ve Atlantida bilgi hırsızını dağıtan betiği başlattı.
Bilinmeyen kaynaklardan gelen .url dosyalarını açarken endişeli Windows kullanıcılarına ekstra dikkatli olmalarını öneriyoruz çünkü bu tür saldırıların başarılı olması kullanıcı katılımına bağlıdır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin