Киберпреступные объединения активно эксплуатируют два критических изъяна в системе Windows для развёртывания масштабной вредоносной операции. Первая уязвимость относится к категории zero-day и известна злоумышленникам с 2017 года, вторая же была частично устранена Microsoft в последнем обновлении, однако полностью нейтрализовать её с первой попытки не удалось.
Источник изображения: AI
Брешь нулевого дня под идентификатором ZDI-CAN-25373 оставалась скрытой до весны текущего года, когда её обнаружили аналитики Trend Micro. Исследователи также выявили, что данной уязвимостью пользовались представители 11 хакерских групп, включая структуры, ассоциируемые с государственными интересами. Согласно отчёту компании, злоумышленники внедряли вредоносные программы через атаки на критическую инфраструктуру в почти 60 государствах, наиболее серьёзно затронувших США, Канаду, Россию и Южную Корею.
Спустя полгода Microsoft по-прежнему не закрыла уязвимость, связанную с обработкой файлов-ярлыков Windows (.lnk). Злоумышленники создают обманчиво безобидные ярлыки, которые при открытии запускают вредоносные сценарии. Ключевая особенность данной бреши — возможность скрытого выполнения команд при активации ярлыка, что делает атаку практически невидимой для пользователя. Ранее идентификатор уязвимости ZDI-CAN-25373 был заменён на CVE-2025-9491.
На прошедшей неделе компания Arctic Wolf зафиксировала широкомасштабную операцию, в ходе которой китайская группа UNC-6384 применяла уязвимость CVE-2025-9491 для атак на организации в ряде европейских стран. Финальной целью злоумышленников было внедрение трояна PlugX для установления полного контроля над скомпрометированными системами. Для усиления скрытности троянская программа сохраняется в зашифрованном виде до завершающей стадии атаки.
«Одновременное воздействие на множество европейских стран в сжатые сроки указывает либо на масштабную скоординированную разведывательную операцию, либо на работу нескольких автономных групп с общим инструментарием, но разными задачами. Единообразие методов при выполнении разнонаправленных миссий демонстрирует централизованную разработку инструментов и строгие стандарты кибербезопасности, даже при распределённой реализации этапов атаки между командами», — отмечается в отчёте Arctic Wolf.
В связи с отсутствием патча для устранения уязвимости CVE-2025-9491, пользователям доступен ограниченный набор мер для обеспечения безопасности устройств. Оптимальным решением считается блокировка обработки файлов с расширением .lnk через запрет или ограничение запуска ярлыков из непроверенных источников. Данная настройка достигается изменением параметров проводника, отключающих автоматическую обработку подобных файлов. Уровень угрозы CVE-2025-9491 классифицирован как 7 из 10 баллов.
Другая используемая злоумышленниками уязвимость — CVE-2025-59287 — была устранена на прошлой неделе с выпуском внеочередного обновления от Microsoft. Проблема затрагивала службы обновления Windows Server (WSUS), применяемые администраторами для управления установкой, обновлением и удалением программного обеспечения на серверах. Степень критичности данной уязвимости оценена в 9,8 балла из 10.
В рамках октябрьского цикла обновлений безопасности Microsoft предприняла попытку ликвидировать эту уязвимость, эксплуатация которой давала злоумышленникам возможность удалённого выполнения кода на целевых устройствах. Однако последующее тестирование исправления показало, что проблема сохранилась частично. Вскоре корпорация выпустила дополнительное обновление.
Специализирующаяся на кибербезопасности компания Huntress сообщила о регистрации атак с использованием CVE-2025-59287 вплоть до 23 октября, что совпало по времени с выпуском второго патча от Microsoft. Компания Sophos, работающая в сфере информационной безопасности, ранее на этой неделе также зафиксировала серию атак на своих клиентов через данную уязвимость 24 октября.
