Atlantida: новый вирус-шпион, который украдёт все ваши секреты

Хакерская группировка Void Banshee замечена в эксплуатации недавно выявленной уязвимости в MSHTML, используемой для распространения вредоносного ПО Atlantida. Эта уязвимость, зарегистрированная как CVE-2024-38112, используется для многоэтапных атак с применением специально созданных интернет-ярлыков, которые приводят к запуску устаревшего и небезопасного браузера Internet Explorer.

Компания Trend Micro зафиксировала активность Void Banshee в середине мая 2024 года. Эта группировка известна своими атаками на Северную Америку, Европу и Юго-Восточную Азию с целью кражи информации и финансовой выгоды. Исследователи отметили, что кампания Atlantida была особенно активной в этом году, и недавно адаптировала уязвимость CVE-2024-38112 для своих цепочек заражения.

Специалисты подчёркивают, что способность APT-групп, таких как Void Banshee, успешно эксплуатировать отключенные системные сервисы Windows, такие как Internet Explorer, представляет серьёзную угрозу для организаций по всему миру.

Ранее компания Check Point сообщала о кампании, использующей ту же уязвимость для распространения другого вредоносного ПО. Уязвимость CVE-2024-38112 была исправлена Microsoft на прошлой неделе в рамках обновлений Patch Tuesday.

CVE-2024-38112 описана Microsoft как уязвимость подмены в MSHTML, используемом в отключенном браузере Internet Explorer. Тем не менее, Zero Day Initiative (ZDI) утверждает, что она должна быть классифицирована как уязвимость удалённого выполнения кода (RCE).

Цепочки атак включают использование фишинговых писем со ссылками на ZIP-архивы, содержащие URL-файлы, которые эксплуатируют CVE-2024-38112 для перенаправления жертвы на скомпрометированный сайт с вредоносным HTML-приложением (HTA).

Открытие HTA-файла запускает Visual Basic Script, который загружает и выполняет PowerShell-скрипт, скачивающий троянскую загрузку .NET. Это приводит к расшифровке и исполнению инфостилера Atlantida в памяти процесса RegAsm.exe.

Atlantida, основанная на открытых исходниках NecroStealer и PredatorTheStealer, предназначена для извлечения файлов, скриншотов, геолокации и конфиденциальных данных из веб-браузеров и других приложений, включая Telegram, Steam, FileZilla и различные криптокошельки.

Группа Void Banshee использовала специально созданные URL-файлы с протокольным обработчиком MHTML и директивой x-usc!, что позволило им запускать HTA-файлы через отключенный процесс IE. Этот метод похож на уязвимость CVE-2021-40444, которая также использовалась в атаках с уязвимостями нулевого дня.

Недавние исследования показывают, что злоумышленники весьма быстро интегрируют PoC-эксплойты в свои арсеналы, иногда даже в течение 22 минут после их публичного выпуска, как это было в случае с CVE-2024-27198. Это подчёркивает, что скорость эксплуатации выявленных CVE часто превышает скорость создания правил WAF или разворачивания исправлений для смягчения атак.

Отключенные или редко используемые компоненты могут стать неожиданной точкой входа для злоумышленников, подвергая риску всю инфраструктуру организации. Регулярное обновление и тщательный аудит всех элементов IT-среды, включая скрытые или считающиеся неактивными, отныне должны стать неотъемлемой частью стратегии кибербезопасности любой современной компании.