По данным исследователей Trend Micro, киберпреступники, действующие в интересах как минимум шести государств, активно используют уязвимость нулевого дня в Microsoft Windows для шпионажа, кражи данных и криптовалюты.
Уязвимость, отслеживаемая Trend Micro как ZDI-CAN-25373 , позволяет злоумышленникам выполнять скрытые вредоносные команды, используя особенности отображения содержимого файлов ярлыков .lnk, также известных как файлы ссылок на оболочку, в Windows, говорится в отчёте, опубликованном во вторник. Уязвимости не присвоен идентификатор CVE, и Microsoft не взяла на себя никаких обязательств по исправлению или устранению проблемы.
По данным исследователей, спонсируемые государством группы эксплуатируют уязвимость нулевого дня с 2017 года, в основном нацеливаясь на правительства, а также аналитические центры и организации в сфере финансов, криптовалют, телекоммуникаций, обороны и энергетики. Компания Trend Micro обнаружила уязвимость и сообщила об этом Microsoft в сентябре.
«Нам известно как минимум о 300 различных организациях, пострадавших от этой атаки», — заявил Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Trend Micro Zero Day. Тысячи устройств, в том числе несколько устройств в рамках одной и той же целевой организации, были заражены вредоносным ПО, доставленным с помощью эксплойтов ZDI-CAN-25373, добавил он.
«Эксплуатация продолжается, и наибольшая активность исходит от северокорейских группировок APT43 и APT37. Мы получаем новые и актуальные образцы каждый день», — сказал Чайлдс. Общее количество атак, связанных с уязвимостью нулевого дня, вероятно, в два-три раза превышает количество, зафиксированное Trend Micro.
По данным исследования Trend Micro, почти половина атак, приписываемых государственным группировкам, связана с киберпреступниками, спонсируемыми северокорейским государством. «Всякий раз, когда мы видим активность из Северной Кореи, она, как правило, имеет финансовую мотивацию и связана с криптовалютой», — сказал Чайлдс. «Складывается впечатление, что весь их валовой внутренний продукт — это программы-вымогатели».
Поддерживаемые государством группировки из Ирана, России и Китая связаны примерно с каждой пятой атакой, зафиксированной исследователями на сегодняшний день. Trend Micro также связывает атаки с группами, работающими от имени Индии, Пакистана, и киберпреступниками, преследующими финансовые цели.
«В качестве передовой практики обеспечения безопасности мы призываем клиентов проявлять осторожность при загрузке файлов из неизвестных источников, как указано в предупреждениях безопасности, которые были разработаны для распознавания и оповещения пользователей о потенциально опасных файлах», — заявил представитель Microsoft.
«Хотя пользовательский интерфейс, описанный в отчете, не соответствует требованиям немедленного устранения неполадок в соответствии с нашими рекомендациями по классификации серьезности , мы рассмотрим возможность устранения этой неполадки в будущих выпусках функций», — сказал представитель.
Тем не менее, «очень необычно, что так много разных групп используют это по-разному и с разными целями», — сказал Чайлдс. «Как только несколько групп начинают использовать один и тот же баг, конечно, больше людей делятся секретом. И чем больше людей делятся секретом, тем выше вероятность, что он станет известен».
Trend Micro приписывает эксплойты российской киберпреступной группировке Evil Corp, предполагаемой южноазиатской шпионской группировке Bitter, вредоносному ПО Konni и другим. Группы, поддерживаемые Индией и Пакистаном, «по сути, используют эту уязвимость друг против друга, практически в одинаковой форме», — сказал Чайлдс.
Киберпреступники используют ZDI-CAN-25373 для атак на государственные учреждения с целью шпионажа и кражи данных более чем в два раза чаще, чем при атаках с финансовой целью.
Атаки распространились по всему миру, и исследователи опасаются, что завоеванные в ходе этой многолетней кампании позиции сохранятся.
«Они были настолько многочисленны, что нам не удалось полностью избавиться от них повсюду», — сказал Чайлдс. «Весьма вероятно, что они всё ещё присутствуют во многих системах по всему миру».
Проблема пользовательского интерфейса заключается в том, что Windows отображает ожидаемый пользователем тип файла, но добавленное в конец файла расширение .lnk, ссылающееся на вредоносный код, скрыто. По данным Trend Micro, злоумышленники добиваются этого, скрывая аргументы командной строки во вредоносных пробелах, которые Windows не отображает в выделенном месте пользовательского интерфейса.
«Я вижу такое впервые, хотя меня постоянно удивляет изобретательность хакеров и преступников», — сказал Чайлдс.
Компания заявила, что файлы ярлыков считаются потенциально опасным типом файлов, и Windows автоматически выводит предупреждение, когда пользователи пытаются открыть файл .lnk, загруженный из Интернета.
По словам Эндрю Гротто, научного сотрудника Центра международной безопасности и сотрудничества Стэнфордского университета, компаниям необходимо провести черту между тем, где заканчивается их ответственность за снижение рисков и начинается ответственность пользователей.
Тем не менее, добавил Гротто, у Microsoft имеется долгая история активного использования уязвимостей нулевого дня и групп угроз, использующих в своих интересах то, что компания описывает как проблемы пользовательского интерфейса.
«Даже если компания не считает это уязвимостью в традиционном смысле этого слова, тот факт, что она активно эксплуатируется, означает, что в продукте все равно есть какая-то проблема», — сказал Гротто.
По словам Чайлдса, для устранения этого и других подобных дефектов Microsoft потребуется кардинально изменить работу файлов .lnk.
«Очень обидно, что Microsoft решила не исправлять это ни обновлением безопасности, ни заявлением: „Да, мы сделаем это в следующей версии“», — сказал Чайлдс. «Но, надеюсь, с публикацией этой информации мы дадим разработчикам достаточно информации для защиты своих систем и, возможно, окажем некоторое давление на Microsoft, чтобы она что-то сделала».
Уязвимость, отслеживаемая Trend Micro как ZDI-CAN-25373 , позволяет злоумышленникам выполнять скрытые вредоносные команды, используя особенности отображения содержимого файлов ярлыков .lnk, также известных как файлы ссылок на оболочку, в Windows, говорится в отчёте, опубликованном во вторник. Уязвимости не присвоен идентификатор CVE, и Microsoft не взяла на себя никаких обязательств по исправлению или устранению проблемы.
По данным исследователей, спонсируемые государством группы эксплуатируют уязвимость нулевого дня с 2017 года, в основном нацеливаясь на правительства, а также аналитические центры и организации в сфере финансов, криптовалют, телекоммуникаций, обороны и энергетики. Компания Trend Micro обнаружила уязвимость и сообщила об этом Microsoft в сентябре.
«Нам известно как минимум о 300 различных организациях, пострадавших от этой атаки», — заявил Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Trend Micro Zero Day. Тысячи устройств, в том числе несколько устройств в рамках одной и той же целевой организации, были заражены вредоносным ПО, доставленным с помощью эксплойтов ZDI-CAN-25373, добавил он.
«Эксплуатация продолжается, и наибольшая активность исходит от северокорейских группировок APT43 и APT37. Мы получаем новые и актуальные образцы каждый день», — сказал Чайлдс. Общее количество атак, связанных с уязвимостью нулевого дня, вероятно, в два-три раза превышает количество, зафиксированное Trend Micro.
По данным исследования Trend Micro, почти половина атак, приписываемых государственным группировкам, связана с киберпреступниками, спонсируемыми северокорейским государством. «Всякий раз, когда мы видим активность из Северной Кореи, она, как правило, имеет финансовую мотивацию и связана с криптовалютой», — сказал Чайлдс. «Складывается впечатление, что весь их валовой внутренний продукт — это программы-вымогатели».
Поддерживаемые государством группировки из Ирана, России и Китая связаны примерно с каждой пятой атакой, зафиксированной исследователями на сегодняшний день. Trend Micro также связывает атаки с группами, работающими от имени Индии, Пакистана, и киберпреступниками, преследующими финансовые цели.
«В качестве передовой практики обеспечения безопасности мы призываем клиентов проявлять осторожность при загрузке файлов из неизвестных источников, как указано в предупреждениях безопасности, которые были разработаны для распознавания и оповещения пользователей о потенциально опасных файлах», — заявил представитель Microsoft.
«Хотя пользовательский интерфейс, описанный в отчете, не соответствует требованиям немедленного устранения неполадок в соответствии с нашими рекомендациями по классификации серьезности , мы рассмотрим возможность устранения этой неполадки в будущих выпусках функций», — сказал представитель.
Подвиги датируются 2017 годом
Редко, но не беспрецедентно, когда киберпреступники эксплуатируют уязвимость нулевого дня в течение многих лет до ее обнаружения — в случае с ZDI-CAN-25373 это заняло восемь лет.Тем не менее, «очень необычно, что так много разных групп используют это по-разному и с разными целями», — сказал Чайлдс. «Как только несколько групп начинают использовать один и тот же баг, конечно, больше людей делятся секретом. И чем больше людей делятся секретом, тем выше вероятность, что он станет известен».
Trend Micro приписывает эксплойты российской киберпреступной группировке Evil Corp, предполагаемой южноазиатской шпионской группировке Bitter, вредоносному ПО Konni и другим. Группы, поддерживаемые Индией и Пакистаном, «по сути, используют эту уязвимость друг против друга, практически в одинаковой форме», — сказал Чайлдс.
Киберпреступники используют ZDI-CAN-25373 для атак на государственные учреждения с целью шпионажа и кражи данных более чем в два раза чаще, чем при атаках с финансовой целью.
Атаки распространились по всему миру, и исследователи опасаются, что завоеванные в ходе этой многолетней кампании позиции сохранятся.
«Они были настолько многочисленны, что нам не удалось полностью избавиться от них повсюду», — сказал Чайлдс. «Весьма вероятно, что они всё ещё присутствуют во многих системах по всему миру».
Новая вредоносная нагрузка
Доказательство эксплойта, предоставленное Trend Micro в Microsoft, иллюстрирует новый способ, который используют киберпреступники для эксплуатации уязвимости ZDI-CAN-25373. Злоумышленники эксплуатируют уязвимость, маскируя файлы ярлыков .lnk под файлы другого типа и обманным путём заставляя жертв открывать исполняемый код, встроенный в эти файлы.Проблема пользовательского интерфейса заключается в том, что Windows отображает ожидаемый пользователем тип файла, но добавленное в конец файла расширение .lnk, ссылающееся на вредоносный код, скрыто. По данным Trend Micro, злоумышленники добиваются этого, скрывая аргументы командной строки во вредоносных пробелах, которые Windows не отображает в выделенном месте пользовательского интерфейса.
«Я вижу такое впервые, хотя меня постоянно удивляет изобретательность хакеров и преступников», — сказал Чайлдс.
Исследователи подвергают сомнению ответ Microsoft
Microsoft заявила, что ценит исследование и раскрытие информации компанией Trend Micro, но отметила, что описанные в отчёте методы имеют ограниченную практическую ценность для злоумышленника. Более того, Microsoft оспаривает необходимость в оперативном сообщении или, возможно, вообще в каком-либо ответе.Компания заявила, что файлы ярлыков считаются потенциально опасным типом файлов, и Windows автоматически выводит предупреждение, когда пользователи пытаются открыть файл .lnk, загруженный из Интернета.
По словам Эндрю Гротто, научного сотрудника Центра международной безопасности и сотрудничества Стэнфордского университета, компаниям необходимо провести черту между тем, где заканчивается их ответственность за снижение рисков и начинается ответственность пользователей.
Тем не менее, добавил Гротто, у Microsoft имеется долгая история активного использования уязвимостей нулевого дня и групп угроз, использующих в своих интересах то, что компания описывает как проблемы пользовательского интерфейса.
«Даже если компания не считает это уязвимостью в традиционном смысле этого слова, тот факт, что она активно эксплуатируется, означает, что в продукте все равно есть какая-то проблема», — сказал Гротто.
По словам Чайлдса, для устранения этого и других подобных дефектов Microsoft потребуется кардинально изменить работу файлов .lnk.
«Очень обидно, что Microsoft решила не исправлять это ни обновлением безопасности, ни заявлением: „Да, мы сделаем это в следующей версии“», — сказал Чайлдс. «Но, надеюсь, с публикацией этой информации мы дадим разработчикам достаточно информации для защиты своих систем и, возможно, окажем некоторое давление на Microsoft, чтобы она что-то сделала».
