Nieuws
image

APT-groepen gebruiken snelkoppelingen om malafide commando's op Windows-systemen uit te voeren

woensdag 19 maart 2025, 12:54 door Redactie, 4 reacties

Verschillende APT-groepen maken gebruik van een kwetsbaarheid in Windows uit om malafide commando's uit te voeren op machines van slachtoffers via geprepareerde snelkoppelingen. Daarbij verbergen zij command-line-opdrachten in .Ink-bestanden, met als doel malware payloads uit te voeren. Hiervoor waarschuwt Trend Micro via het Trend Zero Day Initiative. Het meldt bijna 1.000 malafide .Ink-bestanden te hebben ontdekt die ZDI-CAN-25373 actief probeerden uit te buiten. Hoewel het lek nu pas is ontdekt, meldt het beveiligingsbedrijf dat de kwetsbaarheid is gebruikt in aanvallen die teruggaan tot 2017. Verschillende APT-groepen uit onder meer Noord-Korea, Iran, Rusland en China lijken gebruik te maken van de kwetsbaarheid.

Niet op korte termijn gepatcht

Het lek is door Trend Micro gemeld bij Microsoft. Het beveiligingsbedrijf meldt echter dat Microsoft het lek niet op korte termijn zal dichten. Het Amerikaanse bedrijf beoordeelt de ernst van het lek als laag. "Deze kwetsbaarheid is gemeld aan Microsoft via het bug bounty-programma van Trend ZDI; Microsoft heeft dit geclassificeerd als "low severity" en de kwetsbaarheid zal in de nabije toekomst dan ook niet worden gepatcht", schrijft Trend Micro.

Trend Micro adviseert organisaties hun systemen te onderzoeken op de aanwezigheid van malafide .Ink-bestanden. Onder meer overheden, private bedrijven, financiële organisaties, denktanks en telecombedrijven zijn doelwit van de aanvallen.

Reacties (4)
19-03-2025, 12:59 door Anoniem
Mooi voorbeeld van niet te onderhouden gesloten software; gebrek aan resources.
Er is maar 1 manier om dit op te lossen stap over naar wat anders. Geen gelul over applicatie niet beschikbaar . Dan gebruik je maar een andere applicatie of maak het webbased, anders niet zeuren en af en toe losgeld betalen.
19-03-2025, 14:49 door Anoniem
Door Anoniem: Mooi voorbeeld van niet te onderhouden gesloten software; gebrek aan resources.
Er is maar 1 manier om dit op te lossen stap over naar wat anders. Geen gelul over applicatie niet beschikbaar . Dan gebruik je maar een andere applicatie of maak het webbased, anders niet zeuren en af en toe losgeld betalen.

Volgens mij is het verwijderen van malafide software welke toch door de gebruiker wordt geïnstalleerd (heeft deze Pebcac nog steeds admin rechten?) een schone taak van antivirussoftware. Lijkt erop dat Trend zijn naam schoon probeert te poetsen aangezien zij dit sinds 2017 (en wellicht nog eerder) hadden moeten detecteren. Wel executables en scripts scannen maar uitvoerbare shortcuts niet is imho een omissie.
19-03-2025, 16:39 door Anoniem
Door Anoniem:
Door Anoniem: Mooi voorbeeld van niet te onderhouden gesloten software; gebrek aan resources.
Er is maar 1 manier om dit op te lossen stap over naar wat anders. Geen gelul over applicatie niet beschikbaar . Dan gebruik je maar een andere applicatie of maak het webbased, anders niet zeuren en af en toe losgeld betalen.

Volgens mij is het verwijderen van malafide software welke toch door de gebruiker wordt geïnstalleerd (heeft deze Pebcac nog steeds admin rechten?) een schone taak van antivirussoftware. Lijkt erop dat Trend zijn naam schoon probeert te poetsen aangezien zij dit sinds 2017 (en wellicht nog eerder) hadden moeten detecteren. Wel executables en scripts scannen maar uitvoerbare shortcuts niet is imho een omissie.

Off topic:

De afkorting is PEBKAC (Problem Exists Between Keyboard and Chair)
(https://en.wikipedia.org/wiki/User_error)
20-03-2025, 00:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mooi voorbeeld van niet te onderhouden gesloten software; gebrek aan resources.
Er is maar 1 manier om dit op te lossen stap over naar wat anders. Geen gelul over applicatie niet beschikbaar . Dan gebruik je maar een andere applicatie of maak het webbased, anders niet zeuren en af en toe losgeld betalen.

Volgens mij is het verwijderen van malafide software welke toch door de gebruiker wordt geïnstalleerd (heeft deze Pebcac nog steeds admin rechten?) een schone taak van antivirussoftware. Lijkt erop dat Trend zijn naam schoon probeert te poetsen aangezien zij dit sinds 2017 (en wellicht nog eerder) hadden moeten detecteren. Wel executables en scripts scannen maar uitvoerbare shortcuts niet is imho een omissie.

Off topic:

De afkorting is PEBKAC (Problem Exists Between Keyboard and Chair)
(https://en.wikipedia.org/wiki/User_error)

Haha +2. Zat al te vechten met mijn autocorrectie die er steeds webcam van wilde maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure Salt Road Compromised Components