Die Zero Day Initiative (ZDI) hat mit ZDI-CAN-25373 eine Windows .lnk-Dateischwachstelle identifiziert, die von APT-Gruppen mit Zero-Day-Exploits missbraucht wird und die Ausführung versteckter Befehle mit dem Ziel der Spionage und Datendiebstahl ermöglicht – und das seit 2017.
Das Threat-Hunting-Team der Zero Day Initiative hat festgestellt: Nahezu 1000 bösartige .lnk-Dateien missbrauchen ZDI-CAN-25373, eine Schwachstelle, durch die Angreifer versteckte bösartige Befehle auf dem Computer eines Opfers ausführen können, indem sie präparierte Shortcut-Dateien einsetzen. Die Angriffe nutzen versteckte Befehlszeilenargumente in .lnk-Dateien, um bösartige Zero-Day-Exploits auszuführen. Für Unternehmen bedeutet dies erhebliche Risiken von Datendiebstahl und Cyberspionage.
Unternehmen sollten handeln
Die Schwachstelle wurde von staatlich unterstützten APT-Gruppen aus Nordkorea, dem Iran, Russland und China missbraucht. Betroffen sind Organisationen aus den Bereichen Regierung, Finanzen, Telekommunikation, Militär und Energie sind in Nordamerika, Europa, Asien, Südamerika und Australien.
Unternehmen sollten ZDI-CAN-25373 sofort scannen und Sicherheitsmaßnahmen ergreifen, wachsam gegenüber verdächtigen .lnk-Dateien bleiben und sicherstellen, dass umfassende Maßnahmen zum Schutz von Endpunkten und Netzwerken vorhanden sind.
Das Threat-Hunting-Team der Zero Day Initiative (ZDI) von Trend Micro hat in einer Vielzahl von Fällen der Ausnutzung von ZDI-CAN-25373 in unterschiedlichen Kampagnen, die bis 2017 zurückreichen, festgestellt. Die Analyse ergab, dass elf staatlich unterstützte Gruppen aus Nordkorea, dem Iran, Russland und China ZDI-CAN-25373 in Operationen eingesetzt haben, die hauptsächlich auf Cyberspionage und Datendiebstahl abzielten.
Microsoft lehnt es ab zu patchen
Trend Micro entdeckten fast tausend Shell Link (.lnk)-Sample, die ZDI-CAN-25373 missbrauchten, doch ist die Gesamtzahl der Ausbeutungsversuche wahrscheinlich viel höher. Nach der Analyse reichte Trend Micro einen Proof-of-Concept-Exploit über das Bug-Bounty-Programm der ZDI bei Microsoft ein. Der Anbieter lehnte es ab, diese Schwachstelle mit einem Sicherheitspatch zu beheben.
Im Laufe der Untersuchung fand der japanische Sicherheitsanbieter zahlreiche Bedrohungsakteure und APT-Gruppen, die ZDI-CAN-25373 missbrauchen. Es sind sowohl staatlich als auch nicht staatlich unterstützte APT-Gruppen. Viele wiesen ein hohes Maß an Raffinesse in ihren Angriffsketten auf und griffen nicht zum ersten Mal Zero-Day-Schwachstellen in freier Wildbahn an.
Staatlich unterstützte APT-Gruppen nutzen die Schwachstelle
Fast die Hälfte der staatlich unterstützten Bedrohungsakteure, die ZDI-CAN-25373 und die damit verbundenen Intrusion-Sets ausnutzen, stammen Berichten zufolge aus Nordkorea. Bemerkenswert ist, dass eine deutliche Mehrheit der nordkoreanischen Intrusion-Sets zu verschiedenen Zeitpunkten auf ZDI-CAN-25373 zielte.
„Die Bedrohung durch APTs, die staatlich unterstützt werden oder von hochprofessionellen Cyberkriminellen ausgehen, stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten dar, die von Regierungen, kritischen Infrastrukturen und privaten Organisationen weltweit verwaltet werden. Von den elf staatlich geförderten APT-Gruppen, die ZDI-CAN-25373 missbrauchen, hat eine Mehrheit eine dokumentierte Vorgeschichte bezüglich von Zero-Days.“ so Peter Girnus, Senior Threat Researcher bei Trend Micro.
„Angesichts der Eskalation geopolitischer Spannungen und Konflikte ist davon auszugehen, dass die Raffinesse der Bedrohungsakteure und die Nutzung von Zero-Day-Schwachstellen zunehmen werden, da sowohl Nationalstaaten als auch Cyberkriminelle versuchen, sich einen Wettbewerbsvorteil gegenüber ihren Gegnern zu verschaffen.“
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..