Un defecto de seguridad sin parpadear que afecta a Microsoft Windows ha sido explotado por 11 grupos patrocinados por el estado de China, Irán, Corea del Ártico y Rusia como parte del robo de datos, el espionaje y las campañas motivadas financieramente que se remontan a 2017.
La vulnerabilidad del día cero, rastreada por la iniciativa de día cero de Trend Micro (ZDI) como Aparición-25373se refiere a un problema que permite a los malos actores ejecutar comandos maliciosos ocultos en la máquina de una víctima aprovechando archivos de paso directo o enlace de shell (.lnk) de Windows.
“Los ataques aprovechan los argumentos de la confín de comandos ocultos en el interior de los archivos .lnk para ejecutar cargas enseres maliciosas, lo que complica la detección”, dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en un disección compartido con The Hacker News. “La explotación de ZDI-Can-25373 expone a las organizaciones a riesgos significativos de robo de datos y espionaje cibernético”.
Específicamente, esto implica el relleno de los argumentos con caracteres de comida de confín ( x0a) y retorno de carro ( x0d) para esquivar la detección.
Hasta la época, casi 1,000 artefactos de archivo .lnk que explotan ZDI-Can-25373 se han desenterrado hasta la época, con la mayoría de las muestras vinculadas a Evil Corp (Water Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), amarga (Earth Anansi) y Scubruft (Earth Manticore).
De los 11 actores de amenaza patrocinados por el estado que se han antitético que abusan de la descompostura, casi la medio de ellos se originan en Corea del Ártico. Por otra parte de explotar el defecto en varios momentos, el hallazgo sirve como una indicación de colaboración cruzada entre los diferentes grupos de amenazas que operan en el interior del maquinaria cibernético de Pyongyang.
Los datos de telemetría indican que los gobiernos, las entidades privadas, las organizaciones financieras, los think tanks, los proveedores de servicios de telecomunicaciones y las agencias militares/de defensa ubicadas en los Estados Unidos, Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de ataques que explotan la vulnerabilidad.
En los ataques disecados por ZDI, los archivos .lnk actúan como un transporte de entrega para familias de malware conocidas como Lumma Stealer, Guloader y Remcos Rat, entre otras. Entre estas campañas notables se encuentra la explotación de ZDI-Can-25373 por Evil Corp para distribuir Raspberry Robin.
Microsoft, por su parte, ha clasificado el problema como descenso severidad y no planea difundir una decisión.
“ZDI-CAN-25373 es un ejemplo de tergiversación (interfaz de heredero (UI) de información crítica (CWE-451)”, dijeron los investigadores. “Esto significa que la interfaz de heredero de Windows no pudo presentar al heredero información crítica”.
“Al explotar ZDI-Can-25373, el actor de amenaza puede evitar que el heredero final vea información crítica (comandos que se ejecutan) relacionados con la evaluación del nivel de aventura del archivo”.
