趋势科技报告：APT组织利用Windows 零日漏洞，通过被废弃的IE执行恶意代码

趋势科技称，一个名为 Void Banshee 的高级持续性威胁组织 (APT) 利用最近的 Windows 零日漏洞通过已禁用的 Internet Explorer 执行代码。

该漏洞编号为 CVE-2024-38112（CVSS 评分为 7.5），已在 2024 年 7 月补丁日更新中得到解决，大约在趋势科技发现该漏洞并向微软报告两个月后。

Void Banshee 是一个以北美、欧洲和南亚实体为目标的APT组织，其目的是窃取信息和获取经济利益，它利用 CVE-2024-38112 作为零日漏洞武器，使用2024 年 1 月发现的恶意软件家族 Atlantida 信息窃取恶意软件感染受害者系统。

作为观察到的攻击的一部分，APT 利用互联网快捷方式 (URL) 文件滥用 MSHTML（聚合 HTML 文档的 MIME 封装）协议处理程序和 x-usc 指令，并直接通过 Windows 已禁用的 Internet Explorer (IE) 执行代码。

尽管 IE 于 2022 年停止服务，但它仍然存在于 Windows 平台上，即使是最新版本，尽管普通用户无法访问，因为微软已经实施了机制，使得 IE 的替代品 Edge 会在用户尝试运行 IE 可执行文件时启动。

被废弃的IE仍然存在于每一台windows系统上

CVE-2024-38112 允许 Void Banshee 制作 URL，通过禁用的 IE 进程执行 HTML 应用程序 (HTA) 文件。

攻击首先会发送鱼叉式网络钓鱼邮件，发送伪装成书籍 PDF 副本的互联网快捷方式文件，以诱骗受害者打开这些文件。攻击链利用零日漏洞打开已禁用的 IE，并利用它将受害者重定向到托管恶意 HTA 文件的受感染网站。

复杂的攻击链

电子书PDF诱饵之一

Trend Micro 强调：“在 Internet 快捷方式文件的 URL 参数中，我们可以看到 Void Banshee 使用 MHTML 协议处理程序和 x-usc! 指令专门制作了此 URL 字符串。此逻辑字符串通过 iexplore.exe 进程在本机 Internet Explorer 中打开 URL 目标。”

伪装成电子书籍 PDF 的恶意 URL 文件

附加在IE快捷方式后的恶意URL字符串

攻击者控制的域上的恶意 HTML 文件还允许 APT 控制网站的窗口视图大小并隐藏下一阶段的下载。

默认情况下，IE 会提示用户打开或保存 HTML 应用程序，但攻击者在恶意 HTA 文件扩展名中添加了空格，以便用户认为他们正在下载 PDF 文件。

一旦运行 HTA 文件，感染链就会继续执行一系列脚本、执行 LoadToBadXml .NET 木马加载器和 Donut shellcode，并在内存中执行 Atlantida 信息窃取恶意程序。

该恶意软件的目标是窃取 FileZilla、Steam、Telegram、加密货币钱包和扩展程序以及网络浏览器的密码和其他信息。它还可以捕获受害者的屏幕、窃取文件并收集大量系统信息。

Trend Micro 指出：“攻击者仍可以利用其计算机上残留的 Windows 残余（如 IE）来感染用户和组织，使其感染勒索软件、后门，或将其作为代理来执行其他恶意软件。Void Banshee 等 APT 组织能够利用已禁用的 IE 等服务，这对全球组织构成了重大威胁。”

技术报告：https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html

参考链接：https://www.securityweek.com/apt-exploits-windows-zero-day-to-execute-code-via-disabled-internet-explorer/

讲述普通人能听懂的安全故事