未修补的 Windows 零日漏洞自 2017 年起遭 11 个国家级赞助威胁组织利用

一个影响微软Windows的安全漏洞未被修补，自2017年以来，一直被来自伊朗、朝鲜和俄罗斯的11个国家级赞助组织利用，作为数据盗窃、间谍活动和以经济利益为目的的行动的一部分。

这个零日漏洞被趋势科技的零日计划（ZDI）追踪为ZDI-CAN-25373，它允许攻击者利用精心制作的Windows快捷方式或壳链接（.LNK）文件，在受害者的机器上执行隐藏的恶意命令。

“这些攻击利用了.LNK文件中隐藏的命令行参数来执行恶意有效载荷，使检测变得复杂，”安全研究员彼得・吉尔纳斯和阿里亚克巴尔・扎哈瓦在与《黑客新闻》分享的分析中表示。“ZDI-CAN-25373的利用使组织面临数据盗窃和网络间谍活动的重大风险。”

具体来说，这涉及到用换行符（\x0A）和回车符（\x0D）填充参数，以逃避检测。

到目前为止，已经发现了近1000个利用ZDI-CAN-25373的.LNK文件，其中大部分样本与Evil Corp（Water Asena）、Kimsuky（Earth Kumiho）、Konni（Earth Imp）、Bitter（Earth Anansi）和ScarCruft（Earth Manticore）有关。

在这11个被发现滥用该漏洞的国家级赞助威胁行为者中，近一半来自朝鲜。除了在不同时间利用该漏洞外，这一发现还表明平壤的网络机构中存在跨合作。

遥测数据显示，位于美国、加拿大、俄罗斯、韩国、越南和巴西的政府、私人实体、金融机构、智库、电信服务提供商以及军事/国防机构已成为利用该漏洞攻击的主要目标。

在ZDI分析的攻击中，.LNK文件充当已知恶意软件家族的交付工具，如Lumma Stealer、GuLoader和Remcos RAT等。其中值得注意的是Evil Corp利用ZDI-CAN-25373分发Raspberry Robin。

微软方面将此问题定性为低严重性，并不打算发布修复程序。

“ZDI-CAN-25373是一个用户界面（UI）对关键信息的错误表示（CWE-451）的示例，”研究人员表示。“这意味着Windows用户界面未能向用户呈现关键信息。”

“通过利用ZDI-CAN-25373，威胁行为者可以阻止最终用户查看与评估文件风险级别相关的执行命令的关键信息。”

消息来源：The Hacker News；

本文由 HackerNews.cc 翻译整理，封面来源于网络；