Корпоративные сети под угрозой из-за уязвимости CVE-2024-21412

Приложения и игры / Корпоративные сети под угрозой из-за уязвимости CVE-2024-21412
24.07.2024

Кампания начинается с фишингового письма, содержащего вредоносную ссылку. При нажатии на ссылку загружается URL-файл, который, в свою очередь, загружает LNK-файл.

LNK-файл и выполнение PowerShell-команд

LNK-файл использует команды PowerShell для загрузки HTA-скрипта, замаскированного под значок наложения. HTA-скрипт извлекает и выполняет скрытый PowerShell-скрипт, который работает в фоновом режиме и загружает подставной PDF и вредоносный инжектор shell-кода, внедряя конечный стилер в легитимные процессы.

Внедрение Shell-кода

Выявлено два типа инжекторов. Первый инжектор использует файл изображения для получения shell-кода с низкими показателями обнаружения на VirusTotal. Второй инжектор загружает JPG-файл с сайта Imghippo и использует Windows API «GdipBitmapGetPixel» для доступа к пикселям и декодирования байтов для получения shell-кода. Другой инжектор более прямолинеен, расшифровывая свой код из секции данных и используя серию функций Windows API для выполнения внедрения shell-кода.

Развертывание стилера

Внедренный код загружает и устанавливает вредоносное ПО для кражи информации, такое как Meduza Stealer версии 2.9 или ACR Stealer.

Кража данных и региональная нацеленность

ACR Stealer нацелен на различные приложения, включая браузеры, криптокошельки, мессенджеры, FTP-клиенты, почтовые клиенты, VPN-сервисы, менеджеры паролей и другие инструменты. Стилер может адаптировать легитимные веб-сервисы для поддержания связи со своим C2-сервером. Кампания, по-видимому, нацелена на определенные регионы, с подставными PDF-файлами, ориентированными на Северную Америку, Испанию и Таиланд.

Реализация последних обновлений безопасности от Microsoft для устранения уязвимости CVE-2024-21412 имеет решающее значение для защиты. Пользователи должны быть осторожны с фишинговыми ссылками и загрузкой неизвестных файлов. Решения для обеспечения безопасности электронной почты могут обнаруживать и блокировать попытки фишинга. Комплексный пакет безопасности может обеспечить защиту от вредоносного ПО в реальном времени.

Полный список целевых приложений доступен здесь.

Г-н Нгок Буи, эксперт по кибербезопасности в Menlo Security, прокомментировал недавнее развитие событий:

«Недавнее обнаружение CVE-2024-21412 демонстрирует настойчивую и эволюционирующую природу киберугроз, нацеленных на Microsoft SmartScreen. Это показывает, что злоумышленники постоянно совершенствуют свои тактики для обхода традиционных мер безопасности и доставки вредоносных нагрузок высокоценным целям. Это подчеркивает необходимость проактивной разведки угроз и многоуровневой защиты для защиты от этих сложных атак.»

  • Windows Defender Flaw Exploited by Phemedrone Stealer
  • Critical New Outlook RCE Vulnerability Exploits Preview Pane
  • 7-Year-Old 0-Day in MS Office Exploited to Drop Cobalt Strike
  • Black Basta Ransomware Exploited Windows 0-day Before Patch
  • Palo Alto Patches 0-Day (CVE-2024-3400) Exploited by Backdoor
  • MS Outlook Vulnerability Exploited by Russian Forest Blizzard Group
  • Microsoft Releases Tool to Fix CrowdStrike-Caused Windows Chaos
  • Russian APT28 Exploiting Windows Vulnerability with GooseEgg Tool
Обновлено: 24.07.2024