Una vulnerabilità di sicurezza non corretta, note come ZDI-CAN-25373, che interessa Microsoft Windows è stata sfruttata da 11 gruppi che sono stati presumibilmente mandati da vari paesi tra cui Cina, Iran, Corea del Nord e Russia come parte di campagne di furto di dati, spionaggio e motivazioni finanziarie che risalgono al 2017.
ZDI-CAN-25373, in cosa consiste l’errore Zero-Day
La vulnerabilità zero-day, tracciata dall’iniziativa Zero Day di Trend Micro (ZDI) come ZDI-CAN-25373, si riferisce a un problema che consente ai vari malintenzionati di eseguire comandi dannosi nascosti sulla macchina della vittima sfruttando file di collegamento di Windows (.LNK) o Shell Link appositamente creati.
“Gli attacchi sfruttano argomenti nascosti della riga di comando all’interno dei file .LNK per eseguire payload dannosi, complicando la rilevazione“, hanno detto i ricercatori di sicurezza Peter Girnus e Aliakbar Zahravi in un’analisi condivisa dagli stessi, aggiungendo: “Lo sfruttamento di ZDI-CAN-25373 espone le organizzazioni a rischi significativi di furto di dati e spionaggio informatico.“
In particolare, questo comporta l’aggiunta di caratteri di Line Feed (\x0A) e Carriage Return (\x0D) agli argomenti per eludere la rilevazione.
Fino ad oggi sono stati trovati quasi 1.000 artefatti di file .LNK che sfruttano ZDI-CAN-25373, con la maggior parte dei campioni legati a svariati gruppi di malintenzionati, tra i quali risultano: Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) e ScarCruft (Earth Manticore).
Hacker dalla Cina, ma non solo, coinvolta anche la Corea del Nord
Dei 11 gruppi di minacciosi malintenzionati mandati da qualche stato che sono stati trovati ad abusare di questa vulnerabilità e (tanto per cambiare…) quasi la metà proviene dalla Corea del Nord; oltre a sfruttare la vulnerabilità in momenti diversi, questa scoperta serve come indicazione di una collaborazione tra i diversi cluster di minaccia operanti all’interno dell’apparato informatico di Pyongyang.
I dati di telemetria indicano che governi, entità private, organizzazioni finanziarie, think tank, fornitori di servizi di telecomunicazione e agenzie militari/difensive situati negli Stati Uniti, Canada, Russia, Corea del Sud, Vietnam e Brasile sono diventati i principali obiettivi degli attacchi che sfruttano la vulnerabilità.
Negli attacchi analizzati da ZDI, i file .LNK agiscono come mezzo di distribuzione per famiglie di malware conosciuti come Lumma Stealer, GuLoader e Remcos RAT, tra i vari malware, stealer e compagnia cantante e tra queste campagne, spicca lo sfruttamento di ZDI-CAN-25373 da parte di Evil Corp per distribuire Raspberry Robin.
Microsoft, da parte sua, ha classificato il problema come di bassa gravità e non prevede di rilasciare una correzione.
“ZDI-CAN-25373 è un esempio di (Rappresentazione Erronea dell’Interfaccia Utente (UI) delle Informazioni Critiche (CWE-451),” hanno detto i ricercatori. “Ciò significa che l’interfaccia utente di Windows non ha presentato all’utente le informazioni critiche.“
La conclusione dei ricercatori è stata: “Sfruttando ZDI-CAN-25373, il malintenzionato può impedire all’utente finale di visualizzare informazioni critiche (comandi in esecuzione) relative alla valutazione del livello di rischio del file.”
