Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer
2024/07/16 TheHackerNews — Void Banshee という APT グループが、最近に公開された Microsoft の MHTML ブラウザ・エンジンのゼロデイ脆弱性 CVE-2024-38112 を悪用し、Atlantida 情報窃取ツールを配信していることが確認された。この活動を 2024年5月中旬に観測したサイバーセキュリティ企業 Trend Micro によると、この脆弱性は、特別に細工されたインターネット・ショートカット (URL) ファイルを使用する、多段階攻撃チェーンの一部として使用されていたという。
Trend Micro の研究者である Peter Girnus と Aliakbar Zahravi は、「Atlantida キャンペーンの変容は、2024年を通じて非常に活発であり、Void Banshee 感染チェーンの一部として CVE-2024-38112 を使用するように進化している。Internet Explorer などの、無効化されたサービスを悪用する Void Banshee のような APT グループの活動は、世界中の組織に重大な脅威をもたらす」と述べている。
Internet Explorer が悪用されたという、この同社の調査結果は、Check Point が 7月9日に公開した CVE-2024-38112 に関するレポートと一致している。
Microsoft は、7月の Patch Tuesday の一環として、CVE-2024-38112 を修正している。同社は CVE-2024-38112 について、すてに廃止された Internet Explorer ブラウザで使用されていた、MSHTML (別名:Trident) ブラウザ・エンジンのスプーフィング脆弱性だと説明している。
しかし Zero Day Initiative (ZDI) は、この脆弱性はリモート・コード実行の欠陥であると主張している。同社の Dustin Childs は、「ベンダーがユーザーに対して、徹底的な防御のためのアップデートが必要だと主張する場合には、どうしたら良いのだろう?影響がスプーフィングであるにもかかわらず、バグがリモートコード実行につながる場合、ベンダーはどうなるのだろう?」と疑問を投げかけている。
この攻撃チェーンで使用されるのは、ファイル共有サイトでホストされている ZIP アーカイブ・ファイルへの、リンクが埋め込まれたスピアフィッシング・メールである。このファイルには、脆弱性 CVE-2024-38112 を悪用することで、悪意の HTML Application (HTA) をホストしている、侵害済みのサイトへと被害者をリダイレクトする、URL ファイルが含まれている。
被害者が HTA ファイルを開くと、Visual Basic スクリプト (VBS) が実行され、.NET トロイの木馬ローダーを取得するための PowerShell スクリプトがダウンロードされ実行される。このトロイの木馬ローダーは、最終的に Donut シェルコード・プロジェクトを使用して、RegAsm.exe プロセス・メモリ内で Atlantida スティーラーを解読し、実行する。
Atlantida は、NecroStealer や PredatorTheStealerのような、オープンソースのスティーラーをモデルにしており、Telegram/Steam/FileZillaや、さまざまな暗号通貨ウォレットや Web ブラウザ/アプリから、ファイル/スクリーンショット/ジオロケーション/機密データなどを抽出するように設計されている。
研究者たちは、「MHTML プロトコル・ハンドラと “x-usc!” ディレクティブを含む、特別に細工された URL ファイルを使用することで、Void Banshee は無効化された IE プロセスを通じて HTA ファイルに直接アクセスし、実行することができた。この悪用の方法は、ゼロデイ攻撃に使われた別の MSHTML の脆弱性 CVE-2021-40444 のときと似ている」と述べている。
Void Banshee については、過去において情報窃盗と金銭的利益のために、北米/ヨーロッパ/東南アジア地域を標的にしたという事実以外は、あまり知られていない。
Cloudflare は、脆弱性 CVE-2024-27198 の場合のように、PoC エクスプロイトが公開されてから 22分という速さで、脅威アクターたちが武器化しているケースもあると、警告している。同社は、「公開された CVE を悪用するスピードは、人間による WAF のルールの作成や、攻撃を軽減するためのパッチ作成と展開のスピードよりも、速いことが多い」と述べている。
また、偽の Windows テーマを宣伝する Facebook 広告を活用し、SYS01stealer という別のスティーラーを配布する、新たなキャンペーンも発見されている。
このキャンペーンについて Trustwave は、「情報スティーラーである SYS01 は、認証情報/履歴/クッキーなどのブラウザ・データを窃取するように設計されている。そのペイロードの大部分は、Facebook アカウントの、特に Facebook ビジネス・アカウントの、アクセス・トークンを取得することにフォーカスしており、マルウェアを拡散させる脅威アクターを支援している」と述べている。
Wikipedia で MHTML を調べてみたら、「MIME encapsulation of assemble HTML documents の略であり、Web ページの HTML コード内の、外部ハイパーリンクで表される HTML コードと、その関連リソースを 1 つのファイルにまとめるために使用される、Web アーカイブ・ファイル形式である」と解説されていました。訳しているときに、MSHTML と混同していましたが、これでスッキリです。なお、文中で紹介されている MSHTML の脆弱性 CVE-2021-40444 ですが、以下のような経緯があります。よろしければ、ご参照ください。
2024/07/03:MSHTML の脆弱性 CVE-2021-40444:MerkSpy 配布で悪用
2021/12/23:Microsoft の脆弱性 CVE-2021-40444:パッチ回避とマルウェア
2021/09/16:Windows MSHTML CVE-2021-40444:公開後に攻撃が増大
2021/09/07:Microsoft Office 365 ゼロデイ攻撃 CVE-2021-40444 回避策
IoT OT Security News 
You must be logged in to post a comment.