DarkMe 惡意軟體

最近揭露的 Microsoft Defender SmartScreen 中的一個安全漏洞已被名為 Water Hydra（也稱為 DarkCasino）的高階持續威脅組織用作零時差攻擊。這次攻擊的主要目標是參與金融市場交易的個人。研究人員於 2023 年 12 月發現了這項惡意活動。

攻擊者正在利用 CVE-2024-21412，這是一個與 Internet 捷徑檔案 (.URL) 相關的安全繞過漏洞。在攻擊序列中，威脅行為者利用 CVE-2024-21412 繞過 Microsoft Defender SmartScreen 並引入 DarkMe 惡意軟體來感染毫無戒心的受害者。

此後，微軟在二月的補丁星期二更新中解決了這個漏洞。該公司表示，未經身份驗證的駭客可以利用該缺陷，向目標用戶發送特製文件，從而繞過安全檢查。然而，利用的成功取決於威脅行為者說服受害者點擊文件連結並查看攻擊者控制的內容。

DarkMe 惡意軟體透過多階段攻擊鏈部署

DarkMe 不僅能夠下載和執行附加指令，還能向命令與控制 (C2) 伺服器註冊並從受感染的系統收集資訊。

在觀察到的感染過程中，利用 CVE-2024-21412 的漏洞來部署有害的安裝程式檔案（「7z.msi」）。這是透過誘使受害者點擊透過外匯交易論壇傳播的誘殺 URL（「fxbulls.ru」）來實現的。該誘惑以共享股票圖表圖像的連結為幌子。然而，該連結的實際內容是一個網路捷徑檔案（「photo_2023-12-29.jpg.url」）。

在「fxbulls.ru」上的登陸頁面上有一個鏈接，可通往具有威脅性的 WebDAV 共享，並帶有精心設計的過濾視圖。當使用者點擊此連結時，瀏覽器會提示他們在 Windows 資源管理器中開啟它。值得注意的是，這不會觸發安全提示，可能導致使用者忽略連結的不安全性質。

該方案的一個值得注意的方面是威脅行為者對搜尋應用程式協定的利用，該協定通常用於呼叫 Windows 上的桌面搜尋應用程式。該協議過去曾被濫用來傳播惡意軟體。攻擊者對該協議的巧妙操縱為感染過程增加了一層額外的欺騙。

APT（進階持續性威脅）組織經常利用零日漏洞

DarkMe 感染鏈中使用的這種獨特的引用方法源於在另一個快捷方式中使用快捷方式，這已被證明可以有效規避 SmartScreen。在這種情況下，SmartScreen 無法正確應用 Web 標記 (MotW)，這是一個重要的 Windows 元件，旨在在開啟或執行來自不受信任來源的檔案時向使用者發出警報。

此活動的最終目標是在後台秘密傳播名為 DarkMe 的 Visual Basic 特洛伊木馬。同時，該活動透過向受害者展示股票圖表來維持欺騙性的外觀，掩蓋了剝削和感染鏈的真實性質。

值得注意的是，新發現的零日漏洞（通常由網路犯罪組織識別）可能會進入民族國家駭客組織的武器庫。這些經驗豐富的攻擊者（例如 Water Hydra）擁有發現和利用高級活動中的零日漏洞所需的技術專業知識和工具。這使他們能夠部署像 DarkMe 這樣具有高度破壞性的惡意軟體，展示他們執行複雜而有力的攻擊的能力。