СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
20.03.2025
#Уязвимости #ИБ#Инфра

«Государственные» хакеры из 11 группировок использовали уязвимость Windows

Государственные хакеры из 11 группировок использовали уязвимость Windows

источник: dall-e

Эксперты Trend Zero Day Initiative (ZDI) выявили, что с 2017 года 11 хакерских группировок, связанных с государственными структурами Северной Кореи, Ирана, Китая и других стран, активно используют обнаруженную недавно уязвимость ZDI-CAN-25373. Этот эксплойт, затрагивающий файлы Windows Shell Link (.lnk), применялся преимущественно для кибершпионажа и хищения данных.

В прошедший вторник были опубликованы результаты исследования, в котором проанализировано порядка 1 тыс. образцов вредоносных .lnk-файлов, задействующих уязвимость. Специалисты Trend Micro полагают, что реальное количество попыток эксплуатации значительно выше.

Несмотря на серьёзную угрозу, Microsoft отказалась разрабатывать обновление безопасности после раскрытия уязвимости в рамках программы вознаграждений Trend ZDI. Анализ кибератак показал, что ZDI-CAN-25373 активно использовалась не только государственными структурами, но и независимыми группировками, занимающимися кибератаками на постоянной основе.

Почти 50% зафиксированных атак с участием этой уязвимости исходят из Северной Кореи. Исследователи отмечают, что северокорейские хакерские группы часто обмениваются инструментами и тактиками, что говорит о высокой степени взаимодействия в рамках киберопераций.

Основной целью атак остаётся шпионаж: около 70% зафиксированных случаев связаны с хищением данных. Около 20% атак носили финансовый характер, а отдельные группировки использовали киберпреступную деятельность для финансирования более масштабных разведывательных операций.

По данным экспертов, атаки затронули широкий круг организаций в разных сферах. В число наиболее уязвимых вошли:

  • государственные учреждения;
  • частные компании;
  • финансовый сектор, в том числе криптовалютные платформы;
  • аналитические центры и некоммерческие организации;
  • телекоммуникационные компании;
  • военные и оборонные структуры;
  • энергетический сектор.

Эксплойт ZDI-CAN-25373 использует особенности обработки файлов ярлыков в Windows. Злоумышленники создают вредоносные .lnk-файлы, которые внешне не вызывают подозрений, но содержат скрытые команды для выполнения вредоносного кода. Манипуляции с параметром COMMAND_LINE_ARGUMENTS позволяют вставлять дополнительные команды, остающиеся незаметными для пользователя, что усложняет их обнаружение.

Продвинутые хакерские группировки применяли этот метод для распространения различных видов вредоносного ПО, включая сервисы Malware-as-a-Service (MaaS) и коммерческие вирусы. По данным специалистов, некоторые группы, в том числе Evil Corp, задействовали уязвимость ZDI-CAN-25373 в своих атаках, а также применяли её в кампаниях, связанных с Raspberry Robin.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: