Поделиться
Китайские хакеры используют «дыру» в Windows, которую Microsoft не может закрыть много лет
Уязвимость в обработчике ярлыков Windows позволяет запускать произвольный код, и различные APT-кластеры пользуются этим уже много лет. Информация о «баге» попала в публичное поле весной 2025 г., патча нет до сих пор.
С той поры прошло три года
Европейские дипломатические и правительственные учреждения в период с сентября по октябрь 2025 г. подверглись новой серии атак, эксплуатирующих до сих пор не исправленную уязвимость в ярлыках Windows.
В техническом отчете, опубликованном в четверг, эксперты компании Arctic Wolf сообщили, что конечными целями атак были дипломатические организации в Венгрии, Бельгии, Италии и Нидерландах, а также правительственные учреждения в Сербии. По мнению исследователей, за этой кампанией стоит кластер угроз UNC6384, который, как считается, связан со спецслужбами КНР.
«Атаки начинаются с узконаправленных фишинговых писем, содержащих встроенный URL-адрес, который является первым звеном в цепочке, цель которой - доставить вредоносные LNK-файлы [которые ведут на PDF-документы], якобы связанные тем или иным образом с заседаниями Европейской комиссии, семинарами НАТО и многосторонними дипломатическими координационными мероприятиями», - говорится в публикации.
Файлы предназначены для эксплуатации уязвимости нулевого дня ZDI-CAN-25373, также отслеживаемой как CVE-2025-9491 (7 баллов по шкале CVSS, что соответствует высокоопасной категории). С этого запускается многоэтапная прогрессия, завершающаяся установкой в целевую систему вредоноса PlugX с помощью побочной загрузки DLL. PlugX - это довольно известный троянец удалённого доступа, также фигурирующий в сводках как Destroy RAT, Kaba, Korplug, SOGU и TIGERPLUG.
Что характерно, уязвимость - очень старая. Компания Trend Micro в рамках своей инициативы нулевого дня (Zero Day Initiative) идентифицировала её в начале этого года, но сразу же указала, что более десятка разных кластеров угроз эксплуатируют её, самое меньшее, с 2017 г.
Тогда же в марте стало известно, что этой уязвимостью активно пользуется кластер угроз XDSpy для распространения вредоноса XDigo по правительственным учреждениям Восточной Европы.
В Microsoft тогда заявили, что встроенный антивирус Defender и средства контроля приложений Windows успешно справляются с этой угрозой. Однако сама уязвимость так и не устранена до сих пор.
«Причины, по которым уязвимость сохраняется, рациональному объяснению поддаются с трудом, особенно учитывая богатую историю её успешной эксплуатации, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Необходимо отметить, что эксплуатация «бага» невозможно без доли соучастия пользователя целевой системы, что несколько снижает степень угрозы, но для профессионалов это малозначимое препятствие. Хотелось бы верить, что в Microsoft наконец-то примут правильное решение и устранят проблему».
Швейцарский разделочный нож
Ключевая проблема состоит в том, что .LNK-файлы позволяют маскировать вредоносный контент от пользователя, и если злоумышленникам удаётся заставить этот файл открыть, то это позволяет запускать произвольный код в системе.
В рамках нынешней кампании LNK-файл используется для запуска команды PowerShell для декодирования и извлечения содержимого архива TAR с одновременным отображением пользователю поддельного PDF-документа. Архив содержит три файла: легитимную утилиту Canon Printer Assistant, вредоносную DLL-библиотеку CanonStager, загружаемую с помощью двоичного файла, и зашифрованную полезную нагрузку PlugX (cnmplog.dat), запускаемую DLL-библиотекой.
«Вредоносное ПО предоставляет комплексные возможности удалённого доступа, включая выполнение команд, кейлоггинг, загрузку и скачивание файлов, обеспечение постоянства присутствия и многочисленные инструменты разведки атакованных систем», - отметили в Arctic Wolf. - «Его модульная архитектура позволяет операторам расширять функциональность с помощью подключаемых модулей, адаптированных к конкретным задачам».
PlugX также реализует различные методы защиты от анализа и отладки, чтобы предотвратить попытки расшифровать его содержимое. Постоянство присутствия достигается за счёт модификации реестра Windows.
Эксперты Arctic Wolf сообщили, что размер артефактов CanonStager, найденных в начале сентября и октябре 2025 года, неуклонно уменьшался - с 700 КБ до 4 КБ, что свидетельствует об активной разработке и превращении инструмента в минимальный инструмент, способный достигать своих целей, не оставляя при этом заметных криминалистических следов.
Кроме того, в начале сентября было обнаружено, что UNC6384, как предполагается, совершенствует механизм доставки вредоносного ПО, используя файл HTML-приложения (HTA) для загрузки внешнего JavaScript, который, в свою очередь, извлекает вредоносные данные из поддомена cloudfront[.]net.
«Акцент кампании на европейских дипломатических структурах, участвующих в оборонном сотрудничестве, координации трансграничной политики и многосторонних дипломатических рамках, соответствует стратегическим разведывательным интересам КНР, касающимся сплоченности европейского альянса, оборонных инициатив и механизмов координации политики», - говорится в публикации Arctic Wolf.
Короткая ссылка
