国家行为体和网络犯罪团伙滥用恶意的.lnk文件进行间谍活动和数据窃取

根据趋势科技（Trend Micro）旗下零日计划（Zero Day Initiative，ZDI）的分析，至少有11个由国家支持的威胁组织一直在滥用Windows快捷方式文件进行间谍活动和数据窃取。

趋势科技ZDI的研究人员发现了1000个恶意的.lnk文件，这些文件被国家行为体和网络犯罪组织利用，通过漏洞ZDI-CAN-25373在受害者机器上执行隐藏的恶意命令。

自2017年以来，来自朝鲜、伊朗、俄罗斯的APT组织一直在利用该漏洞。这些威胁行为者发起的攻击针对北美、欧洲、亚洲、南美和澳大利亚的政府、金融、电信、军事和能源领域的组织。利用ZDI-CAN-25373的威胁行为者中，近一半来自朝鲜（45.5%），其中70%专注于间谍活动，20%专注于经济利益，两者往往相互关联。

研究人员已通知微软，但微软尚未修复这一零日漏洞。

“我们发现了近千个利用ZDI-CAN-25373的Shell Link（.lnk）样本；然而，实际的利用尝试次数可能更高。随后，我们通过趋势科技ZDI的漏洞赏金计划向微软提交了一个概念验证漏洞利用程序，但微软拒绝通过安全补丁修复此漏洞。”ZDI发布的报告中写道。

对ZDI-CAN-25373漏洞利用的分析显示，它们被用于传递多种恶意软件载荷，包括MaaS（恶意软件即服务）和商品化恶意软件。Water Asena（Evil Corp）在Raspberry Robin活动中利用了该漏洞。一些概念验证样本表明，该漏洞被用于攻击链的开发。趋势科技的遥测数据帮助关联了已恢复的载荷，突显了该漏洞在各种威胁活动中的广泛滥用。

ZDI-CAN-25373利用了Windows处理.lnk文件的方式，使攻击者能够在快捷方式中嵌入恶意命令。受害者在用户界面中看不到明显的威胁。.lnk文件格式允许嵌入命令行参数，这些参数可以执行恶意载荷。威胁行为者还会操纵图标和文件名（例如“document.pdf.lnk”）来诱骗用户打开文件。

威胁行为者通过在.lnk文件中填充空白字符来利用ZDI-CAN-25373，从而在Windows用户界面中隐藏恶意命令。这阻止了用户查看执行的参数。研究人员注意到，一些朝鲜APT组织（如Earth Manticore和Earth Imp）使用超大的.lnk文件（高达70MB）来逃避检测。这种用户界面误导缺陷（CWE-451）阻止用户评估文件风险，有助于隐蔽的网络攻击。

“在利用ZDI-CAN-25373的11个国家支持的APT组织中，大多数都有在野外攻击中利用零日漏洞的记录。这些漏洞带来了巨大的风险，因为它们针对的是软件供应商未知且缺乏相应安全补丁的缺陷，从而使政府和组织容易受到攻击。”报告总结道。

原文始发于微信公众号（黑猫安全）：国家行为体和网络犯罪团伙滥用恶意的.lnk文件进行间谍活动和数据窃取