Microsoft Windows’u etkileyen bir güvenlik kusuru, 2017 yılına dayanan veri hırsızlığı, casusluk ve finansal olarak motive olmuş kampanyaların bir parçası olarak Çin, İran, Kuzey Kore ve Rusya’dan devlet destekli 11 grup tarafından kullanıldı.
Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından izlenen sıfır gün güvenlik açığı Görünüş-can-25373kötü aktörlerin hazırlanmış Windows kısayolu veya kabuk bağlantısı (.lnk) dosyalarından yararlanarak bir kurbanın makinesinde gizli kötü amaçlı komutlar yürütmesine izin veren bir sorunu ifade eder.
Güvenlik araştırmacıları Peter Girnus ve Aliakbar Zahravi, hacker News ile paylaşılan bir analizde, “Saldırılar, kötü niyetli yükleri yürütmek için .lnk dosyalarındaki gizli komut satırı argümanlarını kullanıyor.” Dedi. “ZDI-CAN-25373’ün sömürülmesi, kuruluşları önemli veri hırsızlığı ve siber casusluk risklerine maruz bırakıyor.”
Özellikle, bu, algılamadan kaçınmak için çizgi beslemesi (\ x0a) ve taşıma döndürme (\ x0d) karakterleri ile argümanların dolgusunu içerir.
ZDI-CAN-25373’ten yararlanan yaklaşık 1.000 .lnk dosya artefaktları bugüne kadar ortaya çıkarılmıştır, örneklerin çoğunluğu Evil Corp (Water Asena), Kimuky (Dünya Kumiho), Koni (Earth imp), acı (toprak anansi) ve toprak mantor) ile bağlantılıdır.
Kusurun kötüye kullanıldığı tespit edilen devlet destekli 11 tehdit aktöründen neredeyse yarısı Kuzey Kore’den geliyor. Kusurdan çeşitli zamanlarda yararlanmanın yanı sıra, bulgu, Pyongyang’ın siber aparatında faaliyet gösteren farklı tehdit kümeleri arasında çapraz işleme gösterisinin bir göstergesi olarak hizmet eder.
Telemetri verileri, hükümetlerin, özel kuruluşların, finansal kuruluşların, düşünce kuruluşlarının, telekomünikasyon hizmeti sağlayıcılarının ve Amerika Birleşik Devletleri, Kanada, Rusya, Güney Kore, Vietnam ve Brezilya’da bulunan askeri/savunma ajanslarının, güvenlik açığından yararlanan saldırıların temel hedefleri haline geldiğini göstermektedir.
ZDI tarafından dağılan saldırılarda, .lnk dosyaları Lumma Stealer, Guloader ve Remcos Rat gibi bilinen kötü amaçlı aileler için bir dağıtım aracı olarak görev yapıyor. Bu kampanyalar arasında dikkat çekici olan, Raspberry Robin’i dağıtmak için Evil Corp tarafından ZDI-CAN-25373’ün sömürülmesidir.
Microsoft, sorunu düşük şiddet olarak sınıflandırdı ve bir düzeltme yayınlamayı planlamıyor.
“ZDI-CAN-25373, (kullanıcı arayüzü (UI) kritik bilgilerin yanlış temsil edilmesine (CWE-451) bir örnektir.” Dedi. “Bu, Windows kullanıcı arayüzünün kullanıcıya kritik bilgiler sunamadığı anlamına geliyor.”
“ZDI-CAN-25373’ten yararlanarak, tehdit oyuncusu son kullanıcının dosyanın risk düzeyini değerlendirmekle ilgili kritik bilgileri (yürütülen komutlar) görüntülemesini engelleyebilir.”