APT-группа Void Banshee использовала уязвимость Windows CVE-2024-43461

Приложения и игры / Close All Windows / Desktop / Windows / Новости Close All Windows для Desktop Windows / APT-группа Void Banshee использовала уязвимость Windows CVE-2024-43461
18.09.2024

Недавно устраненная уязвимость в Windows, известная как «уязвимость подделки MSHTML» и отслеживаемая под CVE-2024-43461, была переклассифицирована как ранее эксплуатируемая после ее использования в атаках, организованных хакерской группой Void Banshee APT. Изначально раскрытая во время сентябрьского Patch Tuesday 2024 года, Microsoft не обозначила уязвимость как ранее эксплуатируемую в то время. Однако недавнее обновление консультативного отчета CVE-2024-43461 подтвердило ее эксплуатацию до исправления.

Уязвимость CVE-2024-43461

Эта уязвимость была обнаружена Питером Гирнусом, старшим исследователем угроз в инициативе Zero Day компании Trend Micro. В комментариях для BleepingComputer Гирнус указал, что уязвимость CVE-2024-43461 была использована в атаках нулевого дня группой Void Banshee для развертывания вредоносного ПО, крадущего информацию. Эта APT-группа, впервые идентифицированная Trend Micro, нацеливается на организации в Северной Америке, Европе и Юго-Восточной Азии с целью извлечения конфиденциальных данных для финансовой выгоды.

В июле как Check Point Research, так и Trend Micro сообщили об атаках, которые использовали уязвимости нулевого дня в Windows для компрометации устройств с помощью инфостилера Atlantida, инструмента, предназначенного для кражи паролей, аутентификационных куки и криптовалютных кошельков с пораженных систем. Эти атаки использовали две уязвимости нулевого дня: CVE-2024-38112, которая была исправлена в июле, и CVE-2024-43461, которая получила исправление в этом месяце, формируя часть более широкой цепочки атак.

Обнаружение уязвимости CVE-2024-38112 было приписано исследователю Check Point Хайфею Ли, который объяснил, что она использовалась для манипуляции Windows с целью открытия вредоносных веб-сайтов в Internet Explorer вместо Microsoft Edge при запуске специально созданных файлов ярлыков. «В частности, атакующие использовали специальные файлы ярлыков Windows Internet (.url расширение), которые при нажатии вызывали устаревший Internet Explorer (IE) для перехода на URL, контролируемый атакующим», — подробно описал Ли в июльском отчете.

Эти URL способствовали загрузке вредоносного файла HTA, побуждая пользователей открыть его. При открытии выполнялся скрипт, приводящий к установке инфостилера Atlantida. Файлы HTA умело использовали уязвимость нулевого дня CVE-2024-43461 для сокрытия своего истинного расширения, представляя себя как PDF-файлы во время запроса Windows, тем самым увеличивая вероятность взаимодействия пользователя.

Гирнус подробно рассказал об эксплуатации, отметив, что уязвимость CVE-2024-43461 позволяла создавать условие CWE-451 через имена файлов HTA, которые включали 26 закодированных символов пробела Брайля (%E2%A0%80), эффективно скрывая расширение .hta. Имя файла выглядело как PDF, но включало эти символы Брайля с последующим расширением .hta, как показано ниже:

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

Когда Windows пыталась открыть этот файл, символы пробела Брайля вытесняли расширение HTA из видимого интерфейса, оставляя только строку «...». Это умное манипулирование делало файлы HTA похожими на безобидные PDF-файлы, тем самым увеличивая шансы на их случайное выполнение пользователями.

После установки обновления безопасности для CVE-2024-43461 Гирнус отметил, что хотя пробелы больше не удаляются, Windows теперь точно отображает расширение .hta в запросах.

Как включить блютуз на компьютере windows 8?

Чтобы включить Bluetooth на компьютере с Windows 8, выполните следующие шаги: 1. Перейдите в 'Параметры ПК', нажав комбинацию клавиш Win + I и выбрав 'Изменение параметров ПК'. 2. В разделе 'Компьютер и устройства' выберите 'Bluetooth'. 3. Включите переключатель Bluetooth в положение 'Включено'. 4. Убедитесь, что устройство, с которым вы хотите установить связь, также включено и доступно для обнаружения.

Как включить bluetooth на пк windows xp?

Для включения Bluetooth на ПК с Windows XP выполните следующие действия: 1. Убедитесь, что у вас установлены драйверы Bluetooth. 2. Откройте 'Панель управления' и выберите 'Сетевые подключения'. 3. В списке сетевых подключений найдите значок 'Беспроводное сетевое соединение Bluetooth', щелкните правой кнопкой мыши и выберите 'Включить'. Если значок отсутствует, возможно, необходимо установить драйверы или сам Bluetooth-адаптер.
Обновлено: 18.09.2024
Close All Windows

Close All Windows скачать бесплатно на ПК и телефон

4
556 отзывы
3110 скачали

Обзоры и инструкции для Close All Windows

Загрузка...