Критическая уязвимость ZDI-CAN-25373: угроза для безопасности

Критическая уязвимость ZDI-CAN-25373: угроза для безопасности

Источник: www.trendmicro.com

Недавний отчет от Trend Zero Day Initiative (ZDI) выявил серьезную уязвимость, связанную с файлами Windows .lnk, под кодовым названием ZDI-CAN-25373. Эта уязвимость позволяет злоумышленникам выполнять скрытые команды на компьютерах-жертвах, подвергая организации угрозам кражи данных и кибершпионажа.

Масштаб атаки и источники угроз

Уязвимость ZDI-CAN-25373 была использована в около 1000 вредоносных файлах .lnk, которые, как правило, исходят от спонсируемых государством групп APT из следующих стран:

  • Северная Корея
  • Иран
  • Россия
  • Китай

Атаки характеризуются возможностью внедрения вредоносных аргументов через файлы .lnk, затрудняя их обнаружение.

Технология эксплуатации

Злоумышленники используют файлы .lnk, которые при открытии не отображают пользователям вредоносный контент из-за особенностей визуализации операционной системы Windows. Вредоносная нагрузка может быть выполнена с использованием легитимных инструментов, таких как cmd.exe и powershell.exe, что создает условия для проведения кибератак без привлечения внимания.
Одной из особенностей эксплуатации ZDI-CAN-25373 является:

  • Искажение важной информации в пользовательском интерфейсе, что позволяет злоумышленникам скрыть истинную природу команд.
  • Заполнение файлов .lnk нефункциональными данными для минимизации рисков обнаружения.

Риски и меры безопасности

Анализ показывает, что многие северокорейские APT-группы активно используют ZDI-CAN-25373, применяя тактику сотрудничества и обмена инструментами. Это создает значительные угрозы для различных секторов, включая:

  • Правительственный
  • Финансовый
  • Телекоммуникационный
  • Военный
  • Энергетический

Злоумышленники используют различные вредоносные программы в качестве полезной нагрузки, такие как Xeno RAT, QakBot, AsyncRat и Venom RAT, что усугубляет ситуацию.

Заключение и рекомендации

Согласно оценке уязвимости, она была зарегистрирована в программе ZDI bug bounty program и классифицирована как низкая степень серьезности, но до сих пор не исправлена. Организациям рекомендуется:

  • Проводить регулярное сканирование на наличие подозрительных файлов .lnk.
  • Разработать эффективные стратегии защиты конечных устройств и сети.
  • Установить протоколы расследования возможных взломов.

Продолжающееся использование данной уязвимости подчеркивает настоятельную необходимость в создании надежных систем кибербезопасности для защиты критически важной инфраструктуры от спонсируемого государством использования и киберпреступлений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: