用于利用 CVE-2024-38112（最近修补的 Windows MSHTML 漏洞）的零日漏洞被一个名为 Void Banshee 的 APT 组织利用，向北美、欧洲和东南亚的目标提供恶意软件，趋势科技的 Zero Day Initiative 威胁猎人分享。

Void Banshee 如何使用 CVE-2024-38112

正如Check Point研究员Haifei Li之前所解释的那样，攻击者使用了专门为利用该漏洞而精心制作的文件，但看起来像PDF。

“威胁行为者利用 CVE-2024-38112 通过互联网快捷方式 （URL） 文件滥用 MHTML 协议处理程序和 x-usc 指令来执行恶意代码。使用这种技术，威胁行为者能够直接通过 Windows 计算机上禁用的 Internet Explorer 实例访问和运行文件，“趋势科技研究人员指出。

“这个MHTML代码执行漏洞被用来用Atlantida恶意软件感染用户和组织。”

攻击链（来源：趋势科技）

威胁行为者使用鱼叉式网络钓鱼策略将目标定向到包含 PDF 格式书籍副本的 ZIP 文件，以及伪装成 PDF 的恶意文件。ZIP 文件托管在在线图书馆、云共享网站、Discord 和受感染的网站上。

“我们在分析虚空女妖活动时发现的一些PDF诱饵包括教科书和参考资料，如临床解剖学，这表明该活动针对的是经常使用参考资料的高技能专业人士和学生，以及收集书籍数字副本的地方，”威胁猎人说。

受害者以为他们正在打开 PDF 文件，但实际上正在执行一个互联网快捷方式文件，该文件利用漏洞触发 Internet Explorer 浏览器的残余物，导致托管恶意 HTML 应用程序的受感染网站。

HTA 文件包含一个 Visual Basic 脚本，该脚本使用 PowerShell 下载并执行它，为其创建新进程，下载其他特洛伊木马加载程序，最后交付 Atlantida 窃取程序。

“[窃取者]针对来自各种应用程序的敏感信息，包括 Telegram、Steam、FileZilla、各种加密货币钱包和网络浏览器。他们指出，这种恶意软件专注于提取存储的敏感和潜在有价值的数据，例如密码和 cookie，它还可以从受感染系统的桌面上收集具有特定扩展名的文件。

“此外，恶意软件会捕获受害者的屏幕并收集全面的系统信息。然后，被盗数据被压缩成ZIP文件，并通过TCP传输给攻击者。

根据 Check Point 的说法，Void Banshee 利用 CVE-2024-38112 已经一年多了。

“像 Void Banshee 这样的 APT 组织利用 IE 等禁用服务的能力对全球组织构成了重大威胁，”趋势科技威胁猎人指出。

“由于IE等服务具有较大的攻击面，并且不再接收补丁，因此对Windows用户来说是一个严重的安全问题。此外，威胁行为者访问不受支持和禁用的系统服务以规避现代网络沙箱（例如 Microsoft Edge 的 IE 模式）的能力凸显了行业的一个重大问题。

Microsoft 未能协调漏洞披露

Check Point 和 Trend Micro 研究人员都在 2024 年 5 月中旬注意到 CVE-2024-38112 被利用，并向 Microsoft 披露了他们的发现。Microsoft 在 2024 年 7 月的周二补丁中发布了针对该漏洞的修复程序，使 MHTML 无法再在互联网快捷方式文件 （.url） 中使用，并将前者归功于该漏洞的安全公告。

但是，当Microsoft在没有提醒的情况下发布修复程序时，两家公司都感到惊讶。

“这不是 [Microsoft] 第一次告诉我们他们将在 X 月修补该问题，但在没有通知我们的情况下提前发布了补丁，”李说，并指出“协调披露不能只是单方面的协调。

ZDI威胁意识负责人达斯汀·柴尔兹（Dustin Childs）指出了研究人员抱怨Microsoft缺乏沟通的其他例子，并指出，使协调漏洞披露（CVD）过程对研究人员来说令人沮丧可能会对Microsoft产生负面影响。

“如果你不提供赏金，不与研究人员协调或适当地归功于他们，为什么世界上会有人向你报告错误？”他问道。

他指出，为了让协调的漏洞披露发挥作用，双方——供应商和研究人员——都负有一定的责任，“现在是时候让供应商站出来做他们的工作了。