Недавно исправленная уязвимость «Windows MSHTML spoofing vulnerability», отслеживаемая под номером CVE-2024-43461, теперь отмечена как ранее использованная после того, как она была использована в атаках хакерской группы Void Banshee APT.
Когда об уязвимости впервые стало известно в рамках вторника обновлений 2024 сентября, Microsoft не пометила ее как ранее эксплуатируемую. Однако в пятницу Microsoft обновила консультацию CVE-2024-43461, указав, что уязвимость уже использовалась в атаках до ее исправления.
Обнаружение уязвимости приписывают Питеру Гирнусу, старшему исследователю угроз в Zero Day компании Trend Micro, который сообщил BleepingComputer, что уязвимость CVE-2024-43461 была использована в атаках нулевого дня Void Banshee для установки вредоносного ПО, похищающего информацию.
Void Banshee - это хакерская группа APT, впервые отслеженная Trend Micro, которая атакует организации в Северной Америке, Европе и Юго-Восточной Азии с целью кражи данных и получения финансовой выгоды.
В июле компании Check Point Research и Trend Micro сообщили об одной и той же атаке, в которой использовались «нулевые дни» Windows для заражения устройств инфопохитителем Atlantida, используемым для кражи паролей, файлов аутентификации и криптовалютных кошельков с зараженных устройств.
Атаки использовали «нулевые дни» CVE-2024-38112 (исправлен в июле) и CVE-2024-43461 (исправлен в этом месяце) в качестве части цепочки атак.
Обнаружение «нулевого дня» CVE-2024-38112 принадлежит исследователю Check Point Хайфею Ли (Haifei Li), который утверждает, что он использовался для того, чтобы заставить Windows открывать вредоносные веб-сайты в Internet Explorer, а не в Microsoft Edge при запуске специально созданных файлов ярлыков.
«В частности, злоумышленники использовали специальные файлы ярлыков Windows Internet Shortcut (.url extension name), которые при нажатии вызывали отложенный Internet Explorer (IE) для посещения контролируемого злоумышленниками URL», - пояснил Ли в июльском отчете Check Point Research.
Эти URL использовались для загрузки вредоносного HTA-файла и предлагали пользователю открыть его. После открытия запускался скрипт, который устанавливал похитителя информации Atlantida.
В файлах HTA использовался другой «нулевой день», отслеживаемый как CVE-2024-43461, который скрывал расширение файла HTA и заставлял файл отображаться как PDF, когда Windows запрашивала пользователя о том, следует ли его открывать, как показано ниже.
Исследователь ZDI Питер Гирнус сообщил BleepingComputer, что дефект CVE-2024-43461 также использовался в атаках Void Banshee для создания состояния CWE-451 через имена файлов HTA, которые включали 26 закодированных пробельных символов Брайля (%E2%A0%80), чтобы скрыть расширение .hta.
Как вы можете видеть ниже, имя файла начинается как PDF-файл, но включает двадцать шесть повторяющихся кодированных пробельных символов Брайля (%E2%A0%80), за которыми следует окончательное расширение '.hta'.
Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80. hta
Когда Windows открывает этот файл, пробельные символы Брайля выталкивают расширение HTA за пределы пользовательского интерфейса, ограничиваясь строкой '...' в подсказках Windows, как показано ниже. Из-за этого файлы HTA отображаются как файлы PDF, что повышает вероятность их открытия.
После установки обновления безопасности для CVE-2024-43461, по словам Гирнуса, пробельные символы не удаляются, но Windows теперь показывает фактическое расширение .hta для файла в подсказках.
К сожалению, это исправление не идеально, так как включенные пробельные символы, скорее всего, все еще будут сбивать людей с толку, заставляя думать, что файл является PDF, а не HTA.
Во вторник сентябрьских патчей Microsoft исправила еще три активно эксплуатируемых «нулевых дня», включая CVE-2024-38217, который использовался в атаках LNK stomping для обхода функции безопасности Mark of the Web.
168Исследователи кибербезопасности из ReversingLabs обнаружили пакеты вредоносного программного обеспечения, связанные с кампанией под названием VMConnect, которая, как полагают, была организована северокорейской хакерской группой Lazarus Group.
127Дефект конфиденциальности в WhatsApp, мессенджере с более чем 2 миллиардами пользователей по всему миру, используется злоумышленниками для обхода функции «Просмотреть один раз» приложения и повторного просмотра сообщений.
167Новый вариант мошенничества, связанного с секстортом, теперь нацелен на супругов, которые утверждают, что их муж или жена изменяет им, и предоставляют ссылки на предполагаемые доказательства.
189Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии