Дослідники з Trend Micro Zero Day Initiative (ZDI) виявили небезпечну вразливість нульового дня в операційній системі Windows, яка активно експлуатується щонайменше 11 державними хакерськими угрупованнями. Microsoft наразі утримується від випуску термінового оновлення безпеки, незважаючи на серйозність загрози.
Масштаб кібератак та їх наслідки
Експерти з кібербезпеки зафіксували понад тисячу шкідливих Shell Link файлів (.lnk), що використовують вразливість ZDI-CAN-25373. Близько 70% атак спрямовані на кіберрозвідку та викрадення конфіденційних даних. Географія атак охоплює країни Північної та Південної Америки, Європи, Східної Азії та Австралії.
Технічний аналіз вразливості
Вразливість ZDI-CAN-25373 належить до типу спотворення критичної інформації в користувацькому інтерфейсі (CWE-451). Зловмисники застосовують спеціальні пробільні символи в структурі COMMAND_LINE_ARGUMENTS файлів .lnk для маскування шкідливого коду, що дозволяє виконувати довільні команди без відома користувача.
Механізм проведення атаки
Хакери використовують різноманітні типи пробільних символів, включаючи шістнадцяткове представлення пробілу (\x20), табуляції (\x09) та інші спеціальні символи. Такий підхід робить шкідливі аргументи командного рядка невидимими в інтерфейсі Windows, що суттєво ускладнює виявлення атаки системами безпеки.
Відомі хакерські угруповання та їх інструменти
Серед APT-груп, що експлуатують вразливість, виявлено Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder та RedHotel. Зловмисники застосовують різноманітне шкідливе програмне забезпечення, включаючи Ursnif, Gh0st RAT та Trickbot для досягнення своїх цілей.
У відповідь на публікацію звіту Microsoft заявила, що вбудовані засоби захисту Windows Defender та Smart App Control здатні виявляти та блокувати подібні атаки. Хоча компанія розглядає можливість усунення вразливості в майбутніх оновленнях, конкретні терміни не називаються. Фахівці з кібербезпеки рекомендують користувачам дотримуватися базових правил цифрової гігієни: не відкривати файли з неперевірених джерел, регулярно оновлювати системи безпеки та використовувати надійні антивірусні рішення.
