InforSec News: Shortcut Windows Zero-Day bị khai thác bởi các mạng APT toàn cầu

Top Block Position

Shortcut Windows Zero-Day bị khai thác bởi các mạng APT toàn cầu

Một lỗ hổng được phát hiện gần đây, ZDI-CAN-25373, được xác định bởi Zero Day Initiative (ZDI), là trung tâm của các hoạt động gián điệp mạng tinh vi, do nhà nước tài trợ trên toàn cầu. Tận dụng các tệp phím tắt (.lnk) Windows được chỉnh sửa, những kẻ tấn công đã che giấu thành công các lệnh độc hại, làm phức tạp đáng kể việc phát hiện và phòng thủ mối đe dọa.

Theo ZDI, những kẻ tấn công đã sử dụng gần 1.000 tệp .lnk độc hại được thiết kế để khai thác ZDI-CAN-25373, cho phép thực hiện bí mật các lệnh trên hệ thống nạn nhân. "Việc khai thác ZDI-CAN-25373 khiến các tổ chức phải đối mặt với những rủi ro đáng kể về đánh cắp dữ liệu và gián điệp mạng", báo cáo cảnh báo.

Zero-day này đã được các nhóm nhà nước bảo trợ từ Bắc Triều Tiên, Iran, Nga và Trung Quốc khai thác tích cực kể từ đầu năm 2017. Các tổ chức trong các lĩnh vực chính phủ, tài chính, viễn thông, quân sự và năng lượng ở Bắc Mỹ, Châu Âu, Châu Á, Nam Mỹ và Úc là mục tiêu chính. Đáng chú ý, gần một nửa số tác nhân đe dọa do nhà nước tài trợ khai thác lỗ hổng này có nguồn gốc từ Triều Tiên, làm nổi bật sự hợp tác rộng rãi và chia sẻ công cụ trong các chương trình mạng của họ.

Các nhà nghiên cứu của Trend ZDI đã quan sát các chiến thuật trốn tránh nâng cao, lưu ý rằng những kẻ tấn công đã tạo ra các tệp với các ký tự khoảng trắng đệm để ẩn payload độc hại. "Tác động của việc khai thác này là các đối số dòng lệnh sẽ được thực thi bởi tệp .lnk hoàn toàn bị ẩn khỏi chế độ xem của người dùng", báo cáo nhấn mạnh. Ngoài ra, các nhóm APT của Triều Tiên như Earth Manticore (APT37) và Earth Imp (Konni) đã sử dụng các tệp .lnk đặc biệt lớn, lên đến 70 MB, để tránh phát hiện hơn nữa.

Bất chấp mức độ nghiêm trọng, Microsoft đã phân loại ZDI-CAN-25373 là mức độ nghiêm trọng thấp, từ chối vá lỗi ngay lập tức thông qua chương trình tiền thưởng lỗi của họ, một quyết định có khả năng ảnh hưởng đến các phản ứng bảo mật trong tương lai.

Các cuộc tấn công chủ yếu nhằm mục đích gián điệp (70%) và thu lợi tài chính (hơn 20%), nhắm vào các lĩnh vực như chính phủ, tổ chức tài chính, viễn thông, quân sự và năng lượng.

Nguồn: Cybersecurity News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học