Void Banshee APT 利用零日漏洞进行恶意攻击

关键要点

高级持续威胁APT组织 Void Banshee 利用修复的零日漏洞进行攻击。攻击通过已禁用的 Internet Explorer 浏览器执行恶意 MHTML 文件。被攻击的机器上安装 Atlantida 信息窃取工具，盗取敏感数据。该漏洞的修复虽然已发布，但由于多方面原因，系统仍然易受攻击。

近日，高级持续威胁APT组织 Void Banshee 被发现利用一个最近修复的零日漏洞，通过已禁用的 Internet Explorer (IE) 浏览器使用 MHTML 技术访问和执行恶意文件。MHTML 是一种渲染网页的浏览器引擎，常常与 Internet Explorer 相关联。

根据7月15日的博客文章，趋势科技的研究人员报告称，该零日漏洞被用于感染受害者机器，安装 Atlantida 信息窃取工具，该工具可以从各种应用程序中窃取系统信息和敏感数据，例如密码和 cookies。

火烧云加速器购买

研究人员指出，Void Banshee 通过将恶意文件伪装成书籍 PDF 文件的压缩包来诱骗受害者。这些伪装的 PDF 文件已经在云共享网站、Discord 服务器和北美、欧洲及东南亚的在线图书馆中传播。

Critical Start 的网络威胁研究高级经理 Callie Guenther 解释道，CVE202438112 的漏洞允许进行伪冒攻击，攻击者可以制作一个恶意的 MHTML 文件，一旦受害者打开该文件，就可能执行任意代码。

Guenther 还提到，攻击通常从一个恶意的 MHTML 文件开始，这个文件常常伪装成一个合法的互联网快捷方式文件。用户在打开此文件后，无意中触发了漏洞，使攻击者能够执行恶意脚本。虽然微软在其 2024 年 7 月的补丁星期二 发布中修复了该漏洞，并且 CISA 将其加入已知被利用的漏洞目录，但 Guenther 指出，该漏洞仍然有以下三个重要原因导致风险依然存在：

风险因素描述更新延迟或漏掉许多用户和组织可能不会立即应用补丁，从而使系统处于脆弱状态。遗留系统不支持和过时的系统如旧版本的 Internet Explorer仍在使用中，因此成为漏洞的主要目标。攻击技术的不断演变APT 组织如 Void Banshee 不断适应其战术，即便修复补丁发布后，它们也能找到新的利用漏洞的方法，在广泛采用更新之前。

“Void Banshee 对 CVE202438112 的发现和利用突显了及时安全更新和补丁管理的重要性，” Guenther 指出。“即便存在补丁，由于更新的缓慢推广以及遗留系统的继续使用，风险依然存在。”