Cacat keamanan yang tidak ditandingi yang berdampak pada Microsoft Windows telah dieksploitasi oleh 11 kelompok yang disponsori negara dari Cina, Iran, Korea Utara, dan Rusia sebagai bagian dari pencurian data, spionase, dan kampanye yang termotivasi secara finansial yang berasal dari tahun 2017.
Kerentanan nol-hari, dilacak oleh Trend Micro's Zero Day Initiative (ZDI) sebagai ZDI-CAN-25373mengacu pada masalah yang memungkinkan aktor buruk untuk menjalankan perintah berbahaya tersembunyi pada mesin korban dengan memanfaatkan file pintasan windows atau tautan shell (.lnk).
“Serangan itu memanfaatkan argumen baris perintah tersembunyi di dalam file .lnk untuk menjalankan muatan berbahaya, mendeteksi rumit,” kata peneliti keamanan Peter Girnus dan Aliakbar Zahravi dalam analisis yang dibagikan dengan berita peretas. “Eksploitasi ZDI-CAN-25373 memaparkan organisasi terhadap risiko signifikan pencurian data dan spionase cyber.”
Secara khusus, ini melibatkan bantalan argumen dengan umpan garis (\ x0a) dan carriage return (\ x0d) karakter untuk menghindari deteksi.
Hampir 1.000. LNK Artefak yang mengeksploitasi ZDI-CAN-25373 telah digali hingga saat ini, dengan mayoritas sampel yang terkait dengan Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Bumi Imp), Bitter (Bumi Anansi), dan Scarcruft (Bumi Konban).
Dari 11 aktor ancaman yang disponsori negara yang telah ditemukan menyalahgunakan cacat, hampir setengah dari mereka berasal dari Korea Utara. Selain mengeksploitasi kelemahan di berbagai waktu, temuan ini berfungsi sebagai indikasi pengumpulan silang di antara berbagai kelompok ancaman yang beroperasi dalam alat cyber Pyongyang.
Data telemetri menunjukkan bahwa pemerintah, entitas swasta, organisasi keuangan, lembaga think tank, penyedia layanan telekomunikasi, dan lembaga militer/pertahanan yang berlokasi di Amerika Serikat, Kanada, Rusia, Korea Selatan, Vietnam, dan Brasil telah menjadi target utama serangan yang mengeksploitasi kerentanan.
Dalam serangan yang dibedah oleh ZDI, file .lnk bertindak sebagai kendaraan pengiriman untuk keluarga malware yang dikenal seperti Lumma Stealer, Guloader, dan Remcos Rat, antara lain. Yang terkenal di antara kampanye ini adalah eksploitasi ZDI-CAN-25373 oleh Evil Corp untuk mendistribusikan Raspberry Robin.
Microsoft, pada bagiannya, telah mengklasifikasikan masalah ini sebagai tingkat keparahan yang rendah dan tidak berencana untuk merilis perbaikan.
“ZDI-CAN-25373 adalah contoh dari penyajian informasi kritis (CWE-451) (CWE-451),” kata para peneliti. “Ini berarti bahwa UI Windows gagal memberikan informasi penting kepada pengguna.”
“Dengan mengeksploitasi ZDI-CAN-25373, aktor ancaman dapat mencegah pengguna akhir melihat informasi penting (perintah yang dieksekusi) terkait dengan mengevaluasi tingkat risiko file.”
