Kẻ Tấn Công XDSpy Khai Thác Lỗ Hổng Zero-Day Windows LNK
Nhóm tấn công XDSpy đã được xác định đang khai thác một lỗ hổng zero-day trong định dạng tệp Windows LNK để nhắm mục tiêu vào các tổ chức chính phủ. Bài viết này cung cấp thông tin chi tiết về lỗ hổng, cơ chế khai thác và các biện pháp khắc phục cần thiết.
Tổng Quan
Lỗ hổng zero-day trong Windows LNK đang bị nhóm XDSpy sử dụng để thực hiện các cuộc tấn công nhắm vào các thực thể chính phủ, đặc biệt là đối tượng nói tiếng Nga tại khu vực Đông Âu và Nga.
Chi Tiết CVE
- CVE Identifier: ZDI-CAN-25373 (Zero-Day Initiative Canaries)
Phân Tích Kỹ Thuật
Lỗ hổng này cho phép kẻ tấn công ẩn các lệnh thực thi khỏi giao diện người dùng Windows trong các tệp shortcut được tạo đặc biệt. Kỹ thuật này sử dụng việc chèn các ký tự khoảng trắng (whitespace) vào đối số dòng lệnh, khiến chúng không hiển thị trong hộp thoại thuộc tính LNK của Windows, nhưng vẫn được thực thi khi tệp shortcut được kích hoạt.
Cơ Chế Khai Thác (Exploitation)
Cuộc tấn công tận dụng lỗ hổng ZDI-CAN-25373 để tạo ra các tệp LNK độc hại. Lỗ hổng xuất phát từ sự khác biệt trong cách Windows phân tích tệp LNK so với đặc tả MS-SHLLINK của chính Microsoft, tạo ra một vectơ nhầm lẫn bổ sung để che giấu mã độc.
Biện Pháp Khắc Phục (Mitigation)
Để giảm thiểu rủi ro từ lỗ hổng này, người dùng và quản trị viên cần thực hiện các biện pháp sau:
- Cảnh giác với tệp shortcut: Tránh mở các tệp shortcut từ các nguồn không đáng tin cậy.
- Cập nhật hệ điều hành: Đảm bảo hệ điều hành Windows được cập nhật thường xuyên và áp dụng các bản vá bảo mật mới nhất.
Thông Tin Bổ Sung
Đối tượng bị nhắm mục tiêu: Chiến dịch tấn công chủ yếu tập trung vào các đối tượng nói tiếng Nga, bao gồm các tổ chức chính phủ tại Đông Âu và Nga. Các tài liệu mồi nhử bao gồm bản quét tài liệu gửi tới Chủ tịch Đoàn Chủ tịch của Hiệp hội Luật sư Thành phố Almaty (Kazakhstan) và bản đồ bố trí tầng với kế hoạch lắp đặt mạng và điện của một công ty thiết kế kiến trúc tại Moscow.
