DarkGate 恶意软件发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。
SmartScreen 是一项 Windows 安全功能,当用户尝试运行从互联网下载的无法识别或可疑文件时,它会显示警告。
该漏洞被追踪为 CVE-2024-21412,是一个Windows Defender SmartScreen 漏洞,允许特制的下载文件绕过这些安全警告。
攻击者可以通过创建指向远程 SMB 共享上托管的另一个 .url 文件的 Windows Internet 快捷方式(.url 文件)来利用该漏洞,这将导致最终位置的文件自动执行。
微软于2月中旬修复了该漏洞,Water Hydra 黑客组织此前曾利用该漏洞作为零日漏洞,将其 DarkMe 恶意软件植入交易商的系统中。
近期,DarkGate 运营商正在利用相同的漏洞来提高他们成功感染目标系统的机会。
这是该恶意软件的重大发展,它与 Pikabot 一起填补了去年夏天QBot被击垮后造成的空白,并被多个网络犯罪分子用于分发恶意软件。
▌DarkGate 攻击细节
该攻击从一封包含PDF附件的恶意邮件开始,附件中的链接利用 Google DoubleClick 数字营销(DDM)服务的开放重定向来绕过邮件安全检查。
当受害者点击该链接时,他们会被重定向到托管互联网快捷方式文件的受感染 Web 服务器。此快捷方式文件 (.url) 链接到托管在被攻击者控制的 WebDAV 服务器上的第二个快捷方式文件。
CVE-2024-21412 SmartScreen漏洞利用
使用一个 Windows 快捷方式在远程服务器上打开第二个快捷方式可有效利用 CVE-2024-21412 漏洞,导致恶意 MSI 文件在设备上自动执行。
自动安装 MSI 文件的第二个 URL 快捷方式
这些 MSI 文件伪装成来自 NVIDIA、Apple iTunes 应用程序或 Notion 的合法软件。
执行 MSI 安装程序后,涉及“libcef.dll”文件和名为“sqlite3.dll”的加载程序的另一个 DLL 侧载漏洞将解密并执行系统上的 DarkGate 恶意软件载荷。
一旦初始化,恶意软件就可以窃取数据,获取额外的有效载荷,并将其注入正在运行的进程中,执行密钥日志记录,并为攻击者提供实时远程访问。
自今年1月中旬以来,DarkGate 运营商采用的复杂且多步骤的感染链可以被总结如下:
DarkGate感染链
此次活动采用了 DarkGate 6.1.7 版本,与旧的版本5相比,该版本具有 XOR 加密配置、新配置选项以及命令与控制(C&C)值的更新。
DarkGate 6 中提供的配置参数使其操作员能够确定各种操作策略和绕过技术,例如启用启动持久性或指定最小磁盘存储和 RAM 大小以绕过分析环境。
DarkGate v6配置参数
用户想要降低这些攻击风险,第一步应当下载 Microsoft 2月更新的星期二补丁,该更新修复了 CVE-2024-21412漏洞。
▌塞讯验证规则
针对该漏洞利用的攻击模拟规则已经加入到塞讯安全度量验证平台中,您可以在塞讯安全度量验证平台中搜索关键词“DarkGate”或“CVE-2024-21412”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该漏洞,平台以业界独有方式确保您的验证过程安全无害。
关注我们,回复“DG”获得此 DarkGate 活动失陷指标 (IoC) 的完整列表。
如需了解更多信息,欢迎拨打官方电话400-860-6366或发送邮件至[email protected]联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。
用持续验证 建长久安全
塞讯验证是国内网络安全度量验证平台开创者,率先提出利用真实自动化APT攻击场景来持续验证安全防御有效性概念, 旨在用安全验证技术来帮助客户实现365天持续评估自身安全防御体系效果,已在金融、高科技、关键信息基础设施等重点行业多家标杆客户中获得商业化落地验证。
核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。
关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯
关注【塞讯业务观测验证】,了解最前沿的业务观测与IT运营相关技术、观点及趋势
原文始发于微信公众号(塞讯安全验证):黑客利用Windows SmartScreen漏洞投放DarkGate恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论