Een niet-gesprongen beveiligingsfout die van invloed is op Microsoft Windows is geëxploiteerd door 11 door de staat gesponsorde groepen uit China, Iran, Noord-Korea en Rusland als onderdeel van gegevensdiefstal, spionage en financieel gemotiveerde campagnes die dateren uit 2017.
De Zero-Day kwetsbaarheid, gevolgd door Trend Micro’s Zero Day Initiative (ZDI) als ZDI-CAN-25373verwijst naar een probleem waarmee slechte acteurs verborgen kwaadaardige opdrachten op de machine van een slachtoffer kunnen uitvoeren door gebruik te maken van bewerkte Windows -snelkoppeling of shell -link (.lnk) -bestanden.
“De aanvallen maken gebruik van verborgen opdrachtregelargumenten binnen .lnk -bestanden om kwaadaardige payloads uit te voeren, waarbij detectie wordt gecompliceerd,” zeiden beveiligingsonderzoekers Peter Girnus en Aliakbar Zahravi in een analyse gedeeld met The Hacker News. “De exploitatie van ZDI-CAN-25373 stelt organisaties bloot aan aanzienlijke risico’s van gegevensdiefstal en cyberspionage.”
In het bijzonder omvat dit de vulling van de argumenten met lijnvoeding ( x0a) en koets retour ( x0d) tekens om detectie te ontwijken.
Bijna een 1.000 .lnk-bestand artefacten die ZDI-CAN-25373 exploiteren, zijn tot nu toe opgegraven, met een meerderheid van de monsters gekoppeld aan Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) en Scarcruft (Earth Manticore).
Van de 11 door de staat gesponsorde dreigingsacteurs die de fout hebben misbruikt, zijn bijna de helft van hen afkomstig uit Noord-Korea. Naast het exploiteren van de fout op verschillende tijdstippen, dient de bevinding als een indicatie van kruisingstollaboratie tussen de verschillende bedreigingsclusters die werken in het cyberapparaat van Pyongyang.
Telemetriegegevens geven aan dat regeringen, particuliere entiteiten, financiële organisaties, denktanks, aanbieders van telecommunicatiediensten en militaire/defensiebureaus in de Verenigde Staten, Canada, Rusland, Zuid -Korea, Vietnam en Brazilië de primaire doelen zijn geworden van aanvallen die de kwetsbaarheid uitbuiten.
In de aanvallen die door ZDI zijn ontleed, fungeren de .lnk -bestanden als een bezorgvoertuig voor bekende malwarefamilies zoals Lumma Stealer, Guloader en Remcos Rat, onder andere. Opmerkelijk onder deze campagnes is de uitbuiting van ZDI-CAN-25373 door Evil Corp om Raspberry Robin te verspreiden.
Microsoft van zijn kant heeft het probleem als lage ernst geclassificeerd en is niet van plan een oplossing vrij te geven.
“ZDI-CAN-25373 is een voorbeeld van (User Interface (UI) verkeerde voorstelling van kritieke informatie (CWE-451),” zeiden de onderzoekers. “Dit betekent dat de Windows UI de gebruiker geen kritieke informatie heeft gepresenteerd.”
“Door ZDI-CAN-25373 te exploiteren, kan de dreigingsacteur voorkomen dat de eindgebruiker kritieke informatie (opdrachten wordt uitgevoerd) die verband houdt met het evalueren van het risiconiveau van het bestand.”
