* Cảnh báo thủ đoạn giả mạo Cục Quản lý xuất nhập cảnh để lừa đảo chiếm đoạt tài sản

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia, lỗ hổng này có mã CVE-2024-38112, được sử dụng trong chuỗi tấn công nhiều giai đoạn với các tệp đường dẫn internet (URL) làm trọng điểm. Microsoft đã đề cập đến lỗ hổng này trong bản vá Patch Tuesday gần đây. Theo Microsoft, đây là một lỗi giả mạo (spoofing) tồn tại trong động cơ trình duyệt MSHTML (hay Trident) được sử dụng trong trình duyệt Internet Explorer. Tuy nhiên, Zero Day Initiative (ZDI) lại cho rằng đây là một lỗ hổng thực thi mã từ xa.

Trong chiến dịch của nhóm APT, các email spear-phishing có chứa đường dẫn đến các tệp ZIP được lưu trên trang web của nhóm tấn công đã được sử dụng. Các tệp ZIP này chứa các tệp URL khai thác lỗ hổng CVE-2024-38112 để điều hướng người dùng đến một trang web lưu trữ tệp HTML Application (HTA) độc hại.

Không có nhiều thông tin về nhóm APT Void Banshee, ngoại trừ việc nhóm này có lịch sử nhằm mục tiêu vào khu vực Bắc Mỹ, Châu Âu và Đông Nam Á để thực hiện các chiến dịch đánh cắp dữ liệu và trục lợi tài chính.

Thông tin về nhóm và việc khai thác lỗ hổng này được công bố sau khi Cloudflare tiết lộ rằng nhiều nhóm tấn công đang nhanh chóng kết hợp các khai thác PoC (proof-of-concept) vào chiến dịch của mình. Trong trường hợp của lỗ hổng CVE-2024-27198, lỗ hổng đã bị khai thác chỉ sau 22 phút kể từ lúc thông tin được công bố.

Ngoài ra, thông tin trong bài viết này cũng tiếp nối sự phát hiện về một chiến dịch tấn công khác sử dụng quảng cáo trên Facebook để phát tán mã độc SYS01stealer thông qua các giao diện Windows giả, nhằm chiếm đoạt tài khoản doanh nghiệp trên Facebook và tiếp tục phát tán mã độc.

Danh sách một số IoC được ghi nhận