昨天（3月13日），趨勢科技分析師報(bào)告稱有黑客利用Windows SmartScreen 漏洞在目標(biāo)系統(tǒng)投放DarkGate 惡意軟件。

該漏洞被追蹤為 CVE-2024-21412 漏洞，是一個 Windows Defender SmartScreen 漏洞，它允許特制的下載文件繞過這些安全警告。SmartScreen 是 Windows 的一項(xiàng)安全功能，當(dāng)用戶試圖運(yùn)行從互聯(lián)網(wǎng)下載的未識別或可疑文件時(shí)會顯示警告。

攻擊者可以通過創(chuàng)建一個Windows Internet快捷方式（.url文件）來利用這個漏洞，該快捷方式指向另一個托管在遠(yuǎn)程SMB共享上的.url文件，這將導(dǎo)致最終位置的文件被自動執(zhí)行。

今年二月中旬，微軟已經(jīng)修復(fù)了該漏洞。但據(jù)趨勢科技披露，Water Hydra黑客組織曾利用該漏洞將DarkMe惡意軟件投放到交易商的系統(tǒng)中。

“DarkGate”攻擊細(xì)節(jié)

攻擊始于一封包含 PDF 附件的惡意電子郵件，里面有一個鏈接利用谷歌 DoubleClick Digital Marketing（DDM）服務(wù)的開放重定向繞過電子郵件安全檢查。當(dāng)受害者點(diǎn)擊鏈接時(shí)，他們會被重定向到一個托管互聯(lián)網(wǎng)快捷方式文件的受攻擊網(wǎng)絡(luò)服務(wù)器。該快捷方式文件（.url）鏈接到由攻擊者控制的 WebDAV 服務(wù)器上托管的第二個快捷方式文件。

利用 CVE-2024-21412 SmartScreen 漏洞 圖源：趨勢科技

使用一個 Windows 快捷方式打開遠(yuǎn)程服務(wù)器上的第二個快捷方式可有效利用 CVE-2024-21412 漏洞，就會導(dǎo)致惡意 MSI 文件在設(shè)備上自動執(zhí)行。

自動安裝 MSI 文件的第二個 URL 快捷方式 圖源：趨勢科技

這些 MSI 文件偽裝成 NVIDIA、Apple iTunes 應(yīng)用程序或 Notion 的合法軟件。

執(zhí)行 MSI 安裝程序后，另一個涉及 "libcef.dll "文件和名為 "sqlite3.dll "的加載器的 DLL 側(cè)載漏洞將解密并在系統(tǒng)上執(zhí)行 DarkGate 惡意軟件有效載荷。

一旦初始化，惡意軟件就能竊取數(shù)據(jù)、獲取附加有效載荷并將其注入正在運(yùn)行的進(jìn)程、執(zhí)行密鑰記錄并為攻擊者提供實(shí)時(shí)遠(yuǎn)程訪問。

下圖概括了 DarkGate 操作員自 2024 年 1 月中旬以來采用的復(fù)雜、多步驟感染鏈：

黑暗之門攻擊鏈 圖源：趨勢科技

趨勢科技稱，此次活動采用的是DarkGate 6.1.7版本，與舊版本5相比，該版本具有XOR加密配置、新配置選項(xiàng)以及命令和控制（C2）值更新等特點(diǎn)。

DarkGate 6 中提供的配置參數(shù)使其操作員能夠確定各種操作策略和規(guī)避技術(shù)，例如啟用啟動持久性或指定最小磁盤存儲和 RAM 大小以規(guī)避分析環(huán)境。

DarkGate v6 配置參數(shù) 圖源：趨勢科技

今年2 月微軟發(fā)布了 "星期二補(bǔ)丁 "更新，此次更新修復(fù)了 CVE-2024-21412漏洞。用戶應(yīng)第一時(shí)間下載更新包以降低攻擊風(fēng)險(xiǎn)。

入侵指標(biāo) (IoC) 列表示意圖（部分）

目前，趨勢科技已公布了此次 DarkGate 活動的完整入侵指標(biāo) (IoC) 列表。