Sandbox is a multipurpose HTML5 template with various layouts which will be a great solution for your business.

Contact Info

Moonshine St. 14/05
Light City, London
info@email.com
00 (123) 456 78 90

Learn More

Follow Us

ระวังไฟล์ LNK อันตราย! แฮกเกอร์ใช้ช่องโหว่ ZDI-CAN-25373 โจมตี Windows

Mar 19, 2025 Variya Kittiwattanachok

สรุปข้อมูล

พบการโจมตีโดยใช้ช่องโหว่แบบ Zero-day ในระบบปฏิบัติการ Windows ซึ่งยังไม่ได้รับการกำหนด CVE แต่ Trend Micro ระบุช่องโหว่นี้ในชื่อ ZDI-CAN-25373 ช่องโหว่นี้ถูกใช้ประโยชน์โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลในเกาหลีเหนือ อิหร่าน รัสเซีย และจีน อาทิ Evil Corp, Kimsuky, Mustang Panda และ Lazarus เป็นต้น การโจมตีได้มุ่งเป้าไปยังหน่วยงานต่าง ๆ ในแต่ละทวีปทั่วโลก เช่น หน่วยงานภาครัฐ สถาบันการเงิน หน่วยงานโทรคมนาคม และองค์กรพลังงาน โดยมีวัตถุประสงค์หลักเพื่อการขโมยข้อมูลและการโจมตีในเชิงพาณิชย์

รายละเอียดช่องโหว่

ช่องโหว่ ZDI-CAN-25373 ในระบบปฏิบัติการ Windows เป็นช่องโหว่ประเภท User Interface (UI) Misrepresentation of Critical Information ซึ่งเกี่ยวข้องกับการแสดงรายละเอียดของไฟล์ Shortcut (LNK) ผ่าน UI ของ Windows โดยแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ในการสร้างไฟล์ LNK ที่มีการซ่อนคำสั่งอันตรายส่งไปยังเหยื่อ เพื่อหลีกเลี่ยงการตรวจจับและรันโค้ดบนเครื่องที่มีช่องโหว่โดยที่เหยื่อไม่ทราบ

รายละเอียดการโจมตี

  1. แฮกเกอร์จะสร้างไฟล์ Shortcut (LNK) ซึ่งมีการซ่อน Argument ของ Command-line โดยใช้ Whitespaces เพิ่มเข้าไปในโครงสร้าง COMMAND_LINE_ARGUMENTS ซึ่ง Whitespaces ที่นำมาใช้จะอยู่ในรูปแบบของ Hex Code ได้แก่ Space ( ), Horizontal Tab ( ), Linefeed ( ), Vertical Tab ( ), Form Feed ( ) และ Carriage Return ( )
  2. เมื่อเหยื่อเปิดไฟล์ LNK ดังกล่าว ระบบจะรัน Command ที่อันตรายอัตโนมัติ โดยไม่มีการแสดงข้อความหรือความผิดปกติใด ๆ ปรากฏขึ้นในใน Windows User Interface ทำให้เหยื่อไม่สามารถรับรู้ถึงการโจมตีที่เกิดขึ้นได้

Malicious arguments not showing in the Target field

รูปที่ 1: ตัวอย่างการไม่พบ Argument ที่อันตรายในฟิลด์ Target

ผลกระทบจากช่องโหว่

จากผลกระทบของช่องโหว่ ZDI-CAN-25373 แฮกเกอร์สามารถโจมตีโดยใช้ไฟล์ LNK ที่มีการซ่อนคำสั่งอันตรายไว้ภายใน ซึ่งทำให้แฮกเกอร์สามารถรันโค้ดหรือ Command ต่างๆ บนระบบของเหยื่อได้ ส่งผลให้การโจมตีดังกล่าวตรวจสอบได้ยาก และสามารถหลบเลี่ยงระบบตรวจจับ นอกจากนี้ช่องโหว่ดังกล่าวยังอาจถูกนำไปใช้ในการแพร่กระจายมัลแวร์อื่น ๆ เพื่อขยายขอบเขตการโจมตีต่อไปได้อีกด้วย

คำแนะนำ

  • ตรวจสอบและติดตั้งซอฟต์แวร์ที่อัปเดตล่าสุดจาก Microsoft
  • ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ Microsoft
  • ระมัดระวังเมื่อเปิดไฟล์ที่ไม่มีความน่าเชื่อถือหรือไฟล์จากแหล่งที่ไม่มีความน่าเชื่อถือ
  • เปิดการใช้งาน Smart App Control ในการป้องกันเพิ่มเติมโดยการบล็อกไฟล์ที่เป็นอันตรายจากภายนอก
  • ใช้ Microsoft Defender ในการตรวจจับและบล็อกการโจมตีที่ใช้ช่องโหว่นี้ได้

แหล่งอ้างอิง

hxxps://www[.]bleepingcomputer[.]com/news/security/new-windows-zero-day-exploited-by-11-state-hacking-groups-since-2017/

hxxps://www[.]trendmicro[.]com/en_us/research/25/c/windows-shortcut-zero-day-exploit[.]html


Tags: Vulnerability Exploitation Microsoft Windows Bank Finance Goverment NGO Telecoms Think Tanks South America Northen America Eastern Asia Europe

เข้าร่วมเป็นส่วนหนึ่งในสมาชิกของเรา

สมัครสมาชิกเพื่อรับข่าวสารด้าน Cybersecurity ในทุกๆวัน ไม่พลาดอัปเดต และคำแนะนำต่างๆ