APT(고급 지속 위협) 그룹이라고 불리는 공허의 밴시 Microsoft MHTML 브라우저 엔진의 최근 공개된 보안 결함을 제로데이로 악용해 Atlantida라는 정보 도용 악성 프로그램을 배포하는 것으로 관찰되었습니다.
사이버 보안 회사 트렌드 마이크로는 2024년 5월 중순에 이 활동을 관찰한 결과, CVE-2024-38112로 추적된 이 취약점은 특별히 제작된 인터넷 바로가기(URL) 파일을 사용하는 다단계 공격 체인의 일부로 사용되었습니다.
보안 연구원인 피터 기르누스와 알리악바르 자라비는 “Atlantida 캠페인의 변형은 2024년 내내 매우 활발했으며, CVE-2024-38112를 Void Banshee 감염 체인의 일부로 사용하도록 진화했습니다.”라고 말했습니다. “Void Banshee와 같은 APT 그룹이 (Internet Explorer)와 같은 장애가 있는 서비스를 악용할 수 있는 능력은 전 세계 조직에 상당한 위협이 됩니다.”
이 발견 사항은 Check Point의 이전 공개 내용과 일치하는데, Check Point는 The Hacker News에 동일한 단점을 활용하여 스틸러를 배포하는 캠페인에 대해 알렸습니다. CVE-2024-38112는 지난주 Patch Tuesday 업데이트의 일부로 Microsoft에서 해결했다는 점에 주목할 가치가 있습니다.
CVE-2024-38112는 Windows 제작자에 의해 현재 중단된 Internet Explorer 브라우저에서 사용되는 MSHTML(일명 Trident) 브라우저 엔진의 스푸핑 취약성으로 설명되었습니다. 그러나 Zero Day Initiative(ZDI)는 이것이 원격 코드 실행 결함이라고 주장했습니다.
“공급업체가 수정 사항이 전체 CVE가 아닌 심층 방어 업데이트여야 한다고 명시하면 어떻게 되나요?” ZDI의 더스틴 차일즈가 지적했습니다. “공급업체가 영향이 스푸핑이라고 명시했지만 버그로 인해 원격 코드 실행이 발생하면 어떻게 되나요?”
공격 체인에는 파일 공유 사이트에 호스팅된 ZIP 아카이브 파일에 대한 링크를 내장한 스피어 피싱 이메일 사용이 포함되며, 해당 사이트에는 CVE-2024-38112를 악용하여 피해자를 악성 HTML 애플리케이션(HTA)을 호스팅하는 손상된 사이트로 리디렉션하는 URL 파일이 포함되어 있습니다.
HTA 파일을 열면 VBS(Visual Basic Script)가 실행되고, 이 스크립트는 .NET 트로이 로더를 검색하는 PowerShell 스크립트를 다운로드하고 실행합니다. 이 스크립트는 궁극적으로 Donut 셸코드 프로젝트를 사용하여 RegAsm.exe 프로세스 메모리 내에 있는 Atlantida 스틸러를 해독하고 실행합니다.
NecroStealer와 PredatorTheStealer와 같은 오픈소스 스틸러를 모델로 한 Atlantida는 Telegram, Steam, FileZilla 및 다양한 암호화폐 지갑을 포함한 웹 브라우저와 다른 애플리케이션에서 파일, 스크린샷, 지리적 위치 및 민감한 데이터를 추출하도록 설계되었습니다.
연구원들은 “MHTML 프로토콜 핸들러와 x-usc! 지시어가 포함된 특별히 제작된 URL 파일을 사용함으로써 Void Banshee는 비활성화된 IE 프로세스를 통해 직접 HTML 애플리케이션(HTA) 파일에 액세스하여 실행할 수 있었습니다.”라고 밝혔습니다.
“이러한 악용 방법은 제로데이 공격에 사용된 또 다른 MSHTML 취약점인 CVE-2021-40444와 유사합니다.”
Void Banshee에 대해서는 정보 유출과 재정적 이득을 위해 북미, 유럽, 동남아시아 지역을 표적으로 삼은 전력이 있다는 사실 외에는 알려진 바가 많지 않습니다.
Cloudflare에서 위협 행위자들이 개념 증명(PoC) 익스플로잇을 빠르게 자신들의 무기고에 통합하고 있다는 사실이 밝혀지면서 이러한 사태가 벌어졌습니다. CVE-2024-27198 사례에서 관찰된 것처럼 공개적으로 공개한 후 22분 만에 익스플로잇을 통합하는 경우도 있습니다.
웹 인프라 회사는 “공개된 CVE의 악용 속도는 인간이 WAF 규칙을 만들거나 패치를 만들어 배포하여 공격을 완화하는 속도보다 빠른 경우가 많다”고 밝혔습니다.
또한, Facebook 광고를 이용해 가짜 Windows 테마를 홍보하는 새로운 캠페인이 발견되어 SYS01stealer라는 또 다른 스틸러를 배포하고 Facebook 비즈니스 계정을 하이재킹하고 맬웨어를 더욱 확산시키는 것이 목표입니다.
Trustwave는 “인포스틸러인 SYS01은 자격 증명, 기록, 쿠키와 같은 브라우저 데이터를 빼내는 데 중점을 둡니다.”라고 말했습니다. “페이로드의 큰 덩어리는 Facebook 계정, 특히 Facebook 비즈니스 계정을 가진 계정에 대한 액세스 토큰을 얻는 데 중점을 두고 있으며, 이는 위협 행위자가 맬웨어를 퍼뜨리는 데 도움이 될 수 있습니다.”
