【安全资讯】Void Banshee利用CVE-2024-38112零日漏洞传播恶意软件

概要：

Void Banshee APT组织利用Windows零日漏洞CVE-2024-38112，通过已禁用的Internet Explorer执行代码，传播恶意软件Atlantida。该漏洞被发现并报告给微软，后者在2024年7月的补丁更新中修复了此漏洞。

主要内容：

Void Banshee APT组织被发现利用Windows零日漏洞CVE-2024-38112（CVSS评分为7.5）通过已禁用的Internet Explorer执行代码。该漏洞是Windows MSHTML平台的欺骗漏洞，成功利用此漏洞需要攻击者在利用前采取额外的准备措施。攻击者通过发送恶意文件诱使受害者执行，从而触发漏洞。

Trend Micro研究人员在2024年5月发现该漏洞被积极利用，并报告给微软。Void Banshee利用该漏洞在受害者机器上投放Atlantida信息窃取器，该恶意软件能够收集系统信息并窃取多个应用程序中的敏感数据，如密码和Cookie。攻击链中，Void Banshee通过云共享网站、Discord服务器和在线图书馆等渠道传播伪装成书籍PDF的恶意文件。

Void Banshee主要针对北美、欧洲和东南亚地区。该组织利用禁用的Internet Explorer进程运行HTML应用程序（HTA）文件，使用特制的.URL文件和MHTML协议处理程序以及x-usc!指令。这种技术类似于CVE-2021-40444的利用方式。研究人员警告称，由于Internet Explorer不再接收更新或安全修复，此攻击方法令人担忧。

攻击者使用互联网快捷文件将受害者重定向到攻击者控制的域名，在该域名上HTML文件下载HTA感染链的阶段。Void Banshee通过控制Internet Explorer的窗口视图大小，隐藏浏览器信息和下载的下一阶段感染内容。APT组织通过在HTA文件扩展名中添加空格将其伪装成PDF文件，诱使用户运行HTA文件，执行一系列脚本，包括LoadToBadXml .NET木马加载器、Donut shellcode和Atlantida窃取器。