Last Updated on 2024-07-17 05:16 by admin
Void Banshee APTによるスピアフィッシング攻撃が、未修正のMicrosoftのゼロデイ脆弱性を利用して行われた。この攻撃は北米、ヨーロッパ、東南アジアの被害者を対象にし、クラウド共有サイト、Discordサーバー、オンラインライブラリを通じて偽のPDFファイルとして配布された。配布されたマルウェア、Atlantida Stealerはパスワードやクッキーなどの機密データを盗み、被害者のスクリーンキャプチャやシステム情報の収集を行う。
この攻撃に利用されたMicrosoftのゼロデイ脆弱性(CVE-2024-38112)に関する新たな詳細が明らかになった。攻撃者はPDFを装ったURLショートカットファイルを配布し、IEがデフォルトブラウザでなくても被害者のマシンで悪用できることが判明した。攻撃は高度な技術を持つ専門家や学生をターゲットにしており、特に参考書のPDFコピーを装ったものが使用された。
攻撃ではMHTMLプロトコルハンドラとx-usc!ディレクティブを含むURLファイルを配布し、無効化されたIEプロセスを介してHTAファイルを実行させた。Atlantida StealerはTelegramやSteam、FileZilla、暗号通貨ウォレットなどのアプリケーションから機密情報を盗み、盗まれたデータはZIPファイルに圧縮され、攻撃者のコマンドアンドコントロール(C2)サイトに送信される。
このゼロデイ脆弱性の悪用は、サポートが終了したIEなどの旧技術でも依然として重大な脅威となり得ることを示している。攻撃者はサンドボックスなどの現代のWebセキュリティ対策を回避するために、サポートが終了したシステムサービスにアクセスすることができる。脆弱性の修正と積極的な脅威インテリジェンス、セキュリティポストの採用が攻撃を防ぐために重要である。
【ニュース解説】
最近、Void Bansheeと呼ばれる高度な持続的脅威(APT)グループが、Microsoftの未修正のゼロデイ脆弱性を悪用するスピアフィッシング攻撃を行いました。この攻撃は、北米、ヨーロッパ、東南アジアの被害者を対象にしており、クラウド共有サイト、Discordサーバー、オンラインライブラリを通じて偽のPDFファイルとして配布されました。配布されたマルウェア、Atlantida Stealerは、パスワードやクッキーなどの機密データを盗み出し、被害者のスクリーンキャプチャやシステム情報の収集を行います。
この攻撃に利用されたゼロデイ脆弱性(CVE-2024-38112)は、MicrosoftのMSHTML(Trident)エンジンに存在し、Internet Explorer(IE)がデフォルトブラウザでなくても、または無効化されていても、被害者のマシンで悪用される可能性があります。攻撃者は、PDFを装ったURLショートカットファイルを配布し、被害者に開かせることで、この脆弱性を悪用しました。特に、高度な技術を持つ専門家や学生がターゲットにされており、参考書のPDFコピーを装ったものが使用されました。
この攻撃は、MHTMLプロトコルハンドラとx-usc!ディレクティブを含むURLファイルを配布し、無効化されたIEプロセスを介してHTAファイルを実行させることで行われました。Atlantida Stealerは、TelegramやSteam、FileZilla、暗号通貨ウォレットなどのアプリケーションから機密情報を盗み出し、盗まれたデータはZIPファイルに圧縮され、攻撃者のコマンドアンドコントロール(C2)サイトに送信されます。
このゼロデイ脆弱性の悪用は、サポートが終了したIEなどの旧技術でも依然として重大な脅威となり得ることを示しています。攻撃者は、サンドボックスなどの現代のWebセキュリティ対策を回避するために、サポートが終了したシステムサービスにアクセスすることができます。このような攻撃を防ぐためには、脆弱性の修正、積極的な脅威インテリジェンスの活用、そしてセキュリティポスチャの継続的な監視とスキャンが重要です。
この事件は、企業や個人がセキュリティ対策を常に最新の状態に保つことの重要性を改めて浮き彫りにしています。また、古い技術やサービスが未だに潜在的な脅威となり得ることを示し、これらの「ゾンビ」技術に対する注意と対策が必要であることを教えてくれます。
from Void Banshee APT Exploits Microsoft Zero-Day in Spear-Phishing Attacks.
