Devlet destekli tehdit aktörleri tarafından 2017’den beri sömürülen kritik bir Windows güvenlik açığı, son zamanlarda araştırmacılar tarafından ortaya çıkarıldı.
ZDI-CAN-25373 olarak izlenen güvenlik açığı, saldırganların özel hazırlanmış Windows kısayol (.lnk) dosyalarından yararlanarak kurbanların makinelerinde gizli kötü amaçlı komutlar yürütmesine izin verir.
Bu güvenlik kusuru, Windows’un kullanıcı arayüzü aracılığıyla kısayol dosyalarının içeriğini nasıl görüntülediğini etkiler.
Kullanıcılar tehlikeye atılan bir .lnk dosyasını incelediğinde, Windows, içinde gizlenen kötü amaçlı komutları görüntüleyemez ve dosyanın gerçek tehlikesini etkili bir şekilde gizler.
Bu sömürü tekniği, siber casusluk operasyonları için sofistike tehdit aktörleri tarafından yaygın olarak benimsenmiştir.
Trend Micro araştırmacıları, yaklaşık 1.000 kötü niyetli .LNK dosyasının çeşitli kampanyalarda bu güvenlik açığını kullandığını kaydetti.
Analizleri, Kuzey Kore, İran, Rusya ve Çin’den devlet destekli 11 grubun bu tekniği öncelikle casusluk ve veri hırsızlığı operasyonları için kullandığını ortaya koydu.
Kuzey Kore, bu kırılganlığın en aktif sömürüsüdür ve teknikten yararlanan devlet destekli aktörlerin neredeyse yarısını oluşturur.
.webp)
Bu eğilim, Kuzey Kore’nin siber programındaki çapraz işleme ve takım paylaşım modellerinin altını çiziyor.
.webp)
Hükümet, finansal, telekomünikasyon ve özel sektörlerdeki kuruluşlar bu saldırıların birincil hedefleri olmuştur.
.webp)
Yaygın istismar, Kuzey Amerika, Avrupa ve Doğu Asya’da önemli bir faaliyet tespit edilmesiyle birden fazla kıtaya sahiptir.
Sömürü detayları
Exploit’in teknik temeli, belirli beyaz alan karakterleriyle .lnk dosyaları içindeki Command_line_argument yapısının dolgulanmasını içerir.
Saldırganlar, dosya özelliklerini görüntüleyen kullanıcılardan kötü amaçlı komutları gizlemek için boşluk (0x20), yatay sekme (0x09), çizgi feed (0x0a) ve taşıma döndürme (0x0d) karakterleri kullanır.
.webp)
Bu karakterlerin büyük miktarları tehlikeye atılan dosyalarda gözlemlenebilir.
Earth Manticore (APT37) ve Earth IMP (Koni) gibi bazı Kuzey Koreli tehdit aktörleri, daha fazla tespitten kaçınmak için aşırı beyaz alan ve önemsiz içerik içeren 70.1 MB’ye kadar boyutlarda son derece büyük .lnk dosyaları kullanıyorlar.
Güvenlik ekipleri, şöyle avcılık sorgularını kullanarak şüpheli kısayolları belirleyebilir:-
eventSubId:2 AND (processFilePath:\"*\\cmd.exe\" OR
processFilePath:\"*\\powershell.exe\") AND
parentFilePath:\"*.lnk\"Microsoft, bu güvenlik açığını düşük bir şiddet olarak sınıflandırdı ve bir güvenlik yaması yayınlamayı planlamıyor. Kuruluşların bu kalıcı tehdide karşı korunmak için uygun güvenlik kontrollerini uygulamaları ve şüpheli kısayol dosyalarına karşı uyanık kalmaları tavsiye edilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.