昨天（3月13日），趨勢(shì)科技分析師報(bào)告稱(chēng)有黑客利用Windows SmartScreen 漏洞在目標(biāo)系統(tǒng)投放DarkGate 惡意軟件。

該漏洞被追蹤為 CVE-2024-21412 漏洞，是一個(gè) Windows Defender SmartScreen 漏洞，它允許特制的下載文件繞過(guò)這些安全警告。SmartScreen 是 Windows 的一項(xiàng)安全功能，當(dāng)用戶(hù)試圖運(yùn)行從互聯(lián)網(wǎng)下載的未識(shí)別或可疑文件時(shí)會(huì)顯示警告。

攻擊者可以通過(guò)創(chuàng)建一個(gè)Windows Internet快捷方式（.url文件）來(lái)利用這個(gè)漏洞，該快捷方式指向另一個(gè)托管在遠(yuǎn)程SMB共享上的.url文件，這將導(dǎo)致最終位置的文件被自動(dòng)執(zhí)行。

今年二月中旬，微軟已經(jīng)修復(fù)了該漏洞。但據(jù)趨勢(shì)科技披露，Water Hydra黑客組織曾利用該漏洞將DarkMe惡意軟件投放到交易商的系統(tǒng)中。

“DarkGate”攻擊細(xì)節(jié)

攻擊始于一封包含 PDF 附件的惡意電子郵件，里面有一個(gè)鏈接利用谷歌 DoubleClick Digital Marketing（DDM）服務(wù)的開(kāi)放重定向繞過(guò)電子郵件安全檢查。當(dāng)受害者點(diǎn)擊鏈接時(shí)，他們會(huì)被重定向到一個(gè)托管互聯(lián)網(wǎng)快捷方式文件的受攻擊網(wǎng)絡(luò)服務(wù)器。該快捷方式文件（.url）鏈接到由攻擊者控制的 WebDAV 服務(wù)器上托管的第二個(gè)快捷方式文件。

利用 CVE-2024-21412 SmartScreen 漏洞 圖源：趨勢(shì)科技

使用一個(gè) Windows 快捷方式打開(kāi)遠(yuǎn)程服務(wù)器上的第二個(gè)快捷方式可有效利用 CVE-2024-21412 漏洞，就會(huì)導(dǎo)致惡意 MSI 文件在設(shè)備上自動(dòng)執(zhí)行。

自動(dòng)安裝 MSI 文件的第二個(gè) URL 快捷方式 圖源：趨勢(shì)科技

這些 MSI 文件偽裝成 NVIDIA、Apple iTunes 應(yīng)用程序或 Notion 的合法軟件。

執(zhí)行 MSI 安裝程序后，另一個(gè)涉及 "libcef.dll "文件和名為 "sqlite3.dll "的加載器的 DLL 側(cè)載漏洞將解密并在系統(tǒng)上執(zhí)行 DarkGate 惡意軟件有效載荷。

一旦初始化，惡意軟件就能竊取數(shù)據(jù)、獲取附加有效載荷并將其注入正在運(yùn)行的進(jìn)程、執(zhí)行密鑰記錄并為攻擊者提供實(shí)時(shí)遠(yuǎn)程訪問(wèn)。

下圖概括了 DarkGate 操作員自 2024 年 1 月中旬以來(lái)采用的復(fù)雜、多步驟感染鏈：

黑暗之門(mén)攻擊鏈 圖源：趨勢(shì)科技

趨勢(shì)科技稱(chēng)，此次活動(dòng)采用的是DarkGate 6.1.7版本，與舊版本5相比，該版本具有XOR加密配置、新配置選項(xiàng)以及命令和控制（C2）值更新等特點(diǎn)。

DarkGate 6 中提供的配置參數(shù)使其操作員能夠確定各種操作策略和規(guī)避技術(shù)，例如啟用啟動(dòng)持久性或指定最小磁盤(pán)存儲(chǔ)和 RAM 大小以規(guī)避分析環(huán)境。

DarkGate v6 配置參數(shù) 圖源：趨勢(shì)科技

今年2 月微軟發(fā)布了 "星期二補(bǔ)丁 "更新，此次更新修復(fù)了 CVE-2024-21412漏洞。用戶(hù)應(yīng)第一時(shí)間下載更新包以降低攻擊風(fēng)險(xiǎn)。

入侵指標(biāo) (IoC) 列表示意圖（部分）

目前，趨勢(shì)科技已公布了此次 DarkGate 活動(dòng)的完整入侵指標(biāo) (IoC) 列表。