Критическая уязвимость ZDI-CAN-25373: угроза для безопасности

Источник: www.trendmicro.com
Недавний отчет от Trend Zero Day Initiative (ZDI) выявил серьезную уязвимость, связанную с файлами Windows .lnk, под кодовым названием ZDI-CAN-25373. Эта уязвимость позволяет злоумышленникам выполнять скрытые команды на компьютерах-жертвах, подвергая организации угрозам кражи данных и кибершпионажа.
Масштаб атаки и источники угроз
Уязвимость ZDI-CAN-25373 была использована в около 1000 вредоносных файлах .lnk, которые, как правило, исходят от спонсируемых государством групп APT из следующих стран:
- Северная Корея
- Иран
- Россия
- Китай
Атаки характеризуются возможностью внедрения вредоносных аргументов через файлы .lnk, затрудняя их обнаружение.
Технология эксплуатации
Злоумышленники используют файлы .lnk, которые при открытии не отображают пользователям вредоносный контент из-за особенностей визуализации операционной системы Windows. Вредоносная нагрузка может быть выполнена с использованием легитимных инструментов, таких как cmd.exe и powershell.exe, что создает условия для проведения кибератак без привлечения внимания.
Одной из особенностей эксплуатации ZDI-CAN-25373 является:
- Искажение важной информации в пользовательском интерфейсе, что позволяет злоумышленникам скрыть истинную природу команд.
- Заполнение файлов .lnk нефункциональными данными для минимизации рисков обнаружения.
Риски и меры безопасности
Анализ показывает, что многие северокорейские APT-группы активно используют ZDI-CAN-25373, применяя тактику сотрудничества и обмена инструментами. Это создает значительные угрозы для различных секторов, включая:
- Правительственный
- Финансовый
- Телекоммуникационный
- Военный
- Энергетический
Злоумышленники используют различные вредоносные программы в качестве полезной нагрузки, такие как Xeno RAT, QakBot, AsyncRat и Venom RAT, что усугубляет ситуацию.
Заключение и рекомендации
Согласно оценке уязвимости, она была зарегистрирована в программе ZDI bug bounty program и классифицирована как низкая степень серьезности, но до сих пор не исправлена. Организациям рекомендуется:
- Проводить регулярное сканирование на наличие подозрительных файлов .lnk.
- Разработать эффективные стратегии защиты конечных устройств и сети.
- Установить протоколы расследования возможных взломов.
Продолжающееся использование данной уязвимости подчеркивает настоятельную необходимость в создании надежных систем кибербезопасности для защиты критически важной инфраструктуры от спонсируемого государством использования и киберпреступлений.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



