8年历史的Windows快捷方式零日漏洞被11个国家支持的组织利用

研究人员最近发现了一个自2017年以来被国家支持的网络威胁行为者利用的关键Windows漏洞。

该漏洞编号为ZDI-CAN-25373，允许攻击者通过利用特制的Windows快捷方式（.lnk）文件在受害者的计算机上执行隐藏的恶意命令。

此安全漏洞影响了Windows通过其用户界面显示快捷方式文件内容的方式。

当用户检查一个被篡改的.lnk文件时，Windows未能显示其中隐藏的恶意命令，从而有效地掩盖了文件的真实危险。

这种利用技术已被复杂的威胁行为者广泛采用，用于网络间谍活动。

趋势科技的研究人员指出，在各种活动中，有近1000个恶意.lnk文件利用了这一漏洞。

他们的分析显示，来自朝鲜、伊朗、俄罗斯等11个国家支持的组织一直在积极使用这种技术，主要用于间谍和数据盗窃行动。

朝鲜是该漏洞最活跃的利用者，占利用该技术的国家支持行为者的近一半。

利用 ZDI-CAN-25373 的国家资助的 APT 组织的国家/地区

这一趋势突显了朝鲜网络计划中的跨合作和工具共享模式。

利用 ZDI-CAN-25373 的目标部门

政府、金融、电信和私营部门的组织一直是这些攻击的主要目标。

按文件提交来源利用 ZDI-CAN-25373 国家/地区的文件

滥用行为遍及多个大陆，北美、欧洲和东亚地区检测到显著活动。

利用细节

该漏洞的技术基础涉及在.lnk文件中的COMMAND_LINE_ARGUMENTS结构中填充特定的空白字符。

攻击者使用空格（0x20）、水平制表符（0x09）、换行符（0x0A）和回车符（0x0D）字符来隐藏用户查看文件属性时的恶意命令。

COMMAND_LINE_ARGUMENTS结构中的大量 Space 字符

在被篡改的文件中可以观察到大量的这些字符。

一些朝鲜的威胁行为者，如Earth Manticore（APT37）和Earth Imp（Konni），一直在使用非常大的.lnk文件——大小高达70.1 MB——包含过多的空白和垃圾内容，以进一步逃避检测。

安全团队可以使用以下狩猎查询来识别可疑的快捷方式：-

eventSubId:2 AND (processFilePath:"*\cmd.exe" ORprocessFilePath:"*\powershell.exe") ANDparentFilePath:"*.lnk"

微软已将此漏洞分类为低严重性，并不计划发布安全补丁。建议组织采取适当的安全控制措施，并对可疑的快捷方式文件保持警惕，以防范这种持续存在的威胁。

原文来自: cybersecuritynews.com