Trend Micro Zero Day Initiative (ZDI) обнаружила уязвимость CVE-2024-38112, которая использовалась APT-группой Void Banshee для атак нулевого дня на пользователей Windows.
Уязвимость позволяла группе получать доступ и выполнять файлы через отключенный Internet Explorer с помощью MSHTML. Void Banshee заманивала жертв с помощью zip-архивов, содержащих вредоносные файлы, замаскированные под PDF-файлы книг, которые распространялись через сайты облачного обмена, серверы Discord и онлайн-библиотеки.
Атаки были направлены в основном на Северную Америку, Европу и Юго-Восточную Азию и преследовали цель заразить жертв инфопохитителем Atlantida, сосредоточившись на похищении системной информации и конфиденциальных данных. Уязвимость была исправлена Microsoft в рамках вторника исправлений 2024 июля, и обработчик MHTML больше не регистрируется в Internet Explorer, что делает его непригодным для использования в файлах ярлыков в Интернете.
Indicators of Compromise
IPv4
- 185.172.128.95
URLs
- http://cbmelipilla.cl/te/test1.html
- http://h.com:8000/test1.html
- https://cbmelipilla.cl/te/hhhh2.php
- https://fullgasesspa.cl/tet/download.php
- https://hostalaskapatagonia.com/tt/become.txt
- https://hostalaskapatagonia.com/tt/tedfd.te
SHA256
- 119b0994bcf9c9494ce44f896b7ff4a489b62f31706be2cb6e4a9338b63cdfdb
- 13907caae48ea741942bce60fa32087328475bd14f5a81a6d04d82286bd28b4d
- 6f1f3415c3e52dcdbb012f412aef7b9744786b2d4a1b850f1f4561048716c750
- 87480b151e465b73151220533c965f3a77046138f079ca3ceb961a7d5fee9a33
- b371fbdce6935039218d4b4272db3521881c9cec48ef82dec1e9e0188a32d3ad
- c85eedd51dced48b3764c2d5bdb8febefe4210a2d9611e0fb14ffc937b80e302
- c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae
- d8824f643127c1d8f73028be01363fd77b2ecb050ebe8c17793633b9879d20eb
