Void BansheeというAPT(Advanced Persistent Threat)グループが、Microsoft MHTMLブラウザエンジンのセキュリティ上の欠陥を悪用して、情報窃盗ソフトウェアであるAtlantida Stealerを拡散していることが観察された。この脆弱性はCVE-2024-38112として追跡され、特別に作成されたインターネットショートカット(URL)ファイルを使用する多段階の攻撃チェーンの一部として使用された。サイバーセキュリティ企業Trend Microが2024年5月中旬にこの活動を観察し、CVE-2024-38112を利用したAtlantidaキャンペーンが2024年を通じて非常に活発であり、Void Bansheeの感染チェーンの一部として進化していることを報告した。
CVE-2024-38112は、現在は使用されていないInternet Explorerブラウザで使用されるMSHTML(別名Trident)ブラウザエンジンのスプーフィング脆弱性としてMicrosoftによって説明されているが、Zero Day Initiative (ZDI)は、これをリモートコード実行の欠陥であると主張している。攻撃チェーンは、ZIPアーカイブファイルへのリンクを埋め込んだスピアフィッシングメールを使用し、これらのファイルはファイル共有サイトにホストされ、CVE-2024-38112を悪用して被害者を悪意のあるHTMLアプリケーション(HTA)をホストする侵害されたサイトにリダイレクトするURLファイルを含んでいる。HTAファイルを開くと、Visual Basic Script (VBS)が実行され、これがPowerShellスクリプトをダウンロードして実行し、.NETトロイの木馬ローダーを取得し、Donutシェルコードプロジェクトを使用してAtlantida stealerをRegAsm.exeプロセスメモリ内で復号化して実行する。
Atlantidaは、NecroStealerやPredatorTheStealerなどのオープンソースのスティーラーをモデルにしており、ファイル、スクリーンショット、地理的位置情報、ウェブブラウザやその他のアプリケーションからの機密データを抽出するように設計されている。これにはTelegram、Steam、FileZilla、さまざまな暗号通貨ウォレットが含まれる。Void Bansheeについては、北米、ヨーロッパ、東南アジア地域を対象とした情報盗難と金銭的利益を目的とした歴史がある以外、あまり知られていない。
【ニュース解説】
最近、Void Bansheeという高度な持続的脅威(APT)グループが、MicrosoftのMHTMLブラウザエンジンに存在するセキュリティ上の欠陥を悪用して、情報窃盗ソフトウェアであるAtlantida Stealerを拡散していることが明らかになりました。この脆弱性はCVE-2024-38112として識別され、特別に作成されたインターネットショートカット(URL)ファイルを介して、多段階の攻撃チェーンの一環として使用されています。サイバーセキュリティ企業Trend Microによると、この活動は2024年5月中旬に観察され、CVE-2024-38112を利用したAtlantidaキャンペーンは2024年を通じて非常に活発であると報告されています。
CVE-2024-38112は、Microsoftによってスプーフィング脆弱性として説明されていますが、実際にはリモートコード実行の可能性を持つとZero Day Initiative (ZDI)は指摘しています。攻撃者は、スピアフィッシングメールを通じてZIPアーカイブファイルへのリンクを送り、これらのファイル内に含まれるURLファイルを介して、被害者を悪意のあるHTMLアプリケーション(HTA)をホストするサイトにリダイレクトします。HTAファイルを開くことで、Visual Basic Script (VBS)が実行され、さらにPowerShellスクリプトを介して.NETトロイの木馬ローダーがダウンロードされ、Atlantida stealerがRegAsm.exeプロセスメモリ内で実行されます。
Atlantida Stealerは、ファイル、スクリーンショット、地理的位置情報、ウェブブラウザやその他のアプリケーションからの機密データを抽出する能力を持っています。これには、Telegram、Steam、FileZilla、さまざまな暗号通貨ウォレットなどが含まれます。Void Bansheeは、北米、ヨーロッパ、東南アジア地域を対象とした情報盗難と金銭的利益を目的として活動していることが知られています。
この攻撃キャンペーンの発見は、サイバーセキュリティの世界において重要な意味を持ちます。まず、APTグループが既存の脆弱性を迅速に悪用する能力を持っていること、そして、企業や組織がセキュリティパッチを適用する速度が、これらの脅威に対応するには不十分である可能性があることを示しています。さらに、この攻撃は、古い技術やサービス(この場合はInternet Explorer)が依然として潜在的なセキュリティリスクを提供することを浮き彫りにしています。
このような攻撃の増加は、企業や組織がセキュリティ対策を常に最新の状態に保つことの重要性を強調しています。また、セキュリティ教育と従業員の訓練を強化し、スピアフィッシングメールなどの詐欺手法に対する警戒を高めることが、攻撃を未然に防ぐ上で不可欠です。最終的に、このような攻撃から保護するためには、技術的な対策だけでなく、人的な要素にも注目し、総合的なセキュリティ戦略を実施することが求められます。
from Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer.
