Vpn11266

Windows快捷方式文件被利用进行攻击

攻击者正利用Windows快捷方式文件（.lnk）来欺骗用户，让他们在系统上运行恶意代码。根据TrendMicro的零日倡议（ZDI）的研究者们的说法，这些威胁组织正在利用Windows shell链接快捷方式格式，在目标机器上执行恶意代码。

该安全风险被称为ZDI- CAN-25373，涉及到攻击者能够操控，从而隐藏恶意代码的存在。这使得攻击者可以将本来有害的负载伪装成看似无害的快捷方式文件。用户在被诱骗打开这些文件时，可能会不知不觉地感染恶意软件。

根据ZDI团队的说法，现在正发生着用户无意中感染机器的情况。研究者指出，至少有11个威胁组织在针对美国和欧洲的组织进行此类攻击。

Trend Micro ZDI团队表示：“这些APT团体包含国家资助、国家临近及网络犯罪团体的混合。”

在观察到的1000起攻击中，大多数都与有关。这些由政府支持的攻击者被指控负责了45%的观察攻击，剩下的案件则大致均匀分布于中国、俄罗斯和伊朗的国家资助团体。

研究发现，70%的攻击显然是间谍活动，旨在从目标机构收集情报，另外20%似乎专注于窃取财务记录和账户凭证。其余的则被归结为一般混乱或未知动机。

ZDI团队表示：“值得注意的是，北朝鲜的入侵事件集中的在不同时间频繁针对ZDI-CAN-25373。”这表明了跨团体之间的合作、技术和工具共享的趋势。

目前尚不清楚这一问题是否符合注册安全漏洞的标准。ZDI研究人员表示，他们已将此问题报告给微软，但微软拒绝将其归类为可提交CVE的软件漏洞，也未发布任何补丁。

ZDI研究人员解释道：“我们发现近千个利用ZDI-CAN-25373的Shell Link（.lnk）样本；然而，实际的利用尝试可能远高于此。”

“因此，我们通过Trend ZDI的漏洞悬赏计划提交了一个概念验证的利用方式，但微软拒绝对此漏洞进行安全补丁的处理。”

这一情况通常发生在供应商决定软件按设计运作，即便存在恶意活动。换句话说，补丁无法保护你免受自身愚蠢行为的侵害。

微软承认已经拒绝将该问题归类为安全漏洞，但为寻求降低风险的管理员提供了相应的指导。

微软在致SC Media的一份声明中表示：“我们感谢ZDI在统筹漏洞披露下提交此报告的工作。微软防护已具备检测并阻止这种威胁活动的能力，智能应用控制则为保护用户提供了额外的层次，通过阻止互联网中恶意文件的访问。”

“作为安全最佳实践，我们建议用户在下载未知来源的文件时，保持谨慎，安全警告旨在提醒用户可能存在的有害文件。虽然报告中描述的用户界面体验并未满足我们，我们将考虑在未来的功能更新中进行处理。”

Trend Micro正在为管理员提供YARA规则和潜在攻击的迹象，并更新其自身的产品和服务，以阻止观察到的攻击。