اكتُشف أن ثغرة أمنية غير مُصححة في نظام مايكروسوفت ويندوز قد تم استغلالها من قبل 11 مجموعة تهديد مدعومة من دول تشمل الصين، إيران، كوريا الشمالية، وروسيا، في حملات تجسس وسرقة بيانات ودوافع مالية منذ عام 2017.
تفاصيل الثغرة واستغلالها
الثغرة التي يُتتبعها مبادرة تريند مايكرو ليوم الصفر (ZDI) تحت الرمز ZDI-CAN-25373، تتيح للمهاجمين تنفيذ أوامر خبيثة مخفية على أجهزة الضحايا من خلال ملفات الاختصار (.LNK) الخاصة بويندوز.
وأوضح الباحثان الأمنيان بيتر جيرنوس وعلي أكبر زهرابي في تقرير لـ The Hacker News أن الهجمات تستغل حجج الأوامر المخفية داخل ملفات .LNK لتشغيل برمجيات خبيثة دون كشفها بسهولة.
كما يتم التمويه عبر إدراج مسافات وعلامات تبويب وأحرف غير مرئية داخل ملفات .LNK لجعل اكتشاف الهجمات أكثر صعوبة.
مجموعات التهديد المستغلة للثغرة
حتى الآن، تم رصد نحو 1000 عينة من ملفات .LNK تستغل الثغرة ZDI-CAN-25373، وكان أبرز المستغلين:
- Evil Corp (Water Asena)
- Kimsuky (Earth Kumiho)
- Konni (Earth Imp)
- Bitter (Earth Anansi)
- ScarCruft (Earth Manticore)
ومن بين 11 مجموعة تهديد مدعومة من دول، ينتمي نحو نصفها إلى كوريا الشمالية، مما يشير إلى تعاون وثيق بين وحدات الهجوم السيبراني في بيونغ يانغ.
أهداف الهجمات
أظهرت بيانات الرصد أن الهجمات استهدفت:
- حكومات ومؤسسات خاصة
- مؤسسات مالية ومراكز أبحاث
- شركات اتصالات
- وكالات عسكرية ودفاعية
وشملت البلدان المستهدفة الولايات المتحدة، كندا، روسيا، كوريا الجنوبية، فيتنام، والبرازيل.
البرمجيات الخبيثة المستخدمة
تم استغلال ملفات .LNK لنشر برمجيات خبيثة مثل:
- Lumma Stealer
- GuLoader
- Remcos RAT
- Raspberry Robin (عبر Evil Corp)
مايكروسوفت تقلل من أهمية التهديد
رغم خطورة الثغرة، صنّفتها مايكروسوفت على أنها منخفضة الخطورة، وأعلنت أنها لن تصدر تصحيحًا لها في الوقت الحالي.
وأوضحت الشركة أن الثغرة تندرج ضمن فئة (CWE-451: سوء تمثيل واجهة المستخدم للمعلومات الحيوية)، ما يعني أن واجهة ويندوز تفشل في تحذير المستخدم بشأن تنفيذ الأوامر المشبوهة.
رد مايكروسوفت على التقرير
في تحديث للقصة، أصدرت مايكروسوفت بيانًا لـ The Hacker News جاء فيه:
“نقدّر جهود ZDI في تقديم هذا التقرير ضمن إطار الكشف المنسق عن الثغرات. يوفر Microsoft Defender بالفعل اكتشافًا وحماية ضد هذا النوع من الهجمات، بينما تقدم ميزة Smart App Control طبقة إضافية من الحماية عبر حظر الملفات الضارة من الإنترنت.”
كما أكدت مايكروسوفت أن فتح ملفات .LNK من مصادر غير موثوقة في Outlook، وورد، إكسل، باوربوينت، و OneNote يؤدي تلقائيًا إلى تحذير أمني يمنع تنفيذها.
في النهاية، شددت الشركة على أن الأسلوب الموصوف في التقرير محدود الاستخدام العملي، مشيرة إلى أن نظام Microsoft Defender قادر على رصد هذه الملفات والتعامل معها بفعالية.
