Kinesisk APT-gruppe udnytter ny Windows 0-dagssårbarhed

Det israelske trusselsintelligensfirma ClearSky Cyber Security har afsløret, at den kinesiske APT-gruppe Mustang Panda udnytter en hidtil ukendt sårbarhed i Windows-operativsystemet. Sårbarheden, der endnu ikke har fået tildelt et CVE-nummer, er blevet rapporteret til Microsoft, som har klassificeret den som 'lav risiko'. Det skriver Security Week. 

Sårbarheden vedrører håndteringen af komprimerede RAR-filer i Windows. Når filer udtrækkes fra en RAR-fil, forbliver de skjulte for brugeren i Windows Stifinder, hvilket får mappen til at fremstå tom. Disse filer kan dog stadig ses ved hjælp af 'dir'-kommandoen i kommandoprompten og kan eksekveres, hvis den præcise sti kendes. Dette muliggør, at ondsindede aktører kan skjule og køre skadelig kode uden brugerens viden. 

Ifølge GBHackers er Mustang Panda kendt for at angribe regeringer, NGO'er og private organisationer globalt gennem cyber-espionage-kampagner. Gruppen anvender ofte spear-phishing e-mails og specialudviklet malware som PlugX for at infiltrere systemer og stjæle følsomme data. 

CyberSecurity News bemærker, at selvom Microsoft har klassificeret sårbarheden som 'lav risiko', advarer cybersikkerhedseksperter om, at sådanne sårbarheder kan have betydelige konsekvenser, især når de udnyttes som en del af en større angrebskæde. ClearSky planlægger at offentliggøre flere tekniske detaljer i en kommende blogpost. 

For at beskytte sig mod potentielle angreb anbefales det, at brugere er opmærksomme på filer udtrukket fra RAR-arkiver og kontrollerer indholdet via kommandoprompten. Det er også vigtigt at holde systemer opdaterede og følge med i sikkerhedsopdateringer fra Microsoft.