Эксперты Trend Micro Zero Day Initiative (ZDI) раскрыли информацию о серьезной уязвимости нулевого дня в операционной системе Windows, которую активно эксплуатируют как минимум 11 правительственных хакерских группировок. Несмотря на масштаб угрозы, Microsoft пока отказывается выпускать патч безопасности.
Масштаб и последствия атак
Исследователи идентифицировали около тысячи вредоносных Shell Link файлов (.lnk), использующих уязвимость ZDI-CAN-25373. Почти 70% атак были направлены на кибершпионаж и похищение конфиденциальных данных, при этом географический охват включает Северную и Южную Америку, Европу, Восточную Азию и Австралию.
Технические детали уязвимости
ZDI-CAN-25373 классифицируется как уязвимость искажения критической информации в пользовательском интерфейсе (CWE-451). Злоумышленники используют специальные пробельные символы в структуре COMMAND_LINE_ARGUMENTS файлов .lnk для маскировки вредоносного кода. Это позволяет выполнять произвольные команды на целевых системах без ведома пользователя.
Механизм эксплуатации
Атакующие применяют различные типы пробельных символов, включая шестнадцатеричные представления пробела (\x20), табуляции (\x09) и другие специальные символы. Такой подход делает вредоносные аргументы командной строки невидимыми в пользовательском интерфейсе Windows, существенно затрудняя обнаружение атаки.
Известные хакерские группировки
Среди APT-групп, эксплуатирующих уязвимость, выявлены Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder и RedHotel. Злоумышленники используют различные вредоносные программы, включая Ursnif, Gh0st RAT и Trickbot.
Microsoft отреагировала на публикацию отчета заявлением о том, что встроенные средства защиты Windows Defender и Smart App Control способны обнаруживать и блокировать подобные атаки. Компания рассматривает возможность устранения уязвимости в будущих обновлениях, однако конкретные сроки не называются. Специалисты рекомендуют пользователям проявлять повышенную бдительность при работе с файлами из непроверенных источников и своевременно устанавливать обновления безопасности.
