De ce atacurile bazate pe LNK reușesc încă să treacă neobservate
La sfârșitul anului 2025, Arctic Wolf Labs a publicat un studiu privind o campanie de spionaj care viza instituții diplomatice din Belgia, Ungaria și alte țări europene. Actorul rău intenționat, un grup afiliat Chinei, identificat sub numele de UNC6384, a folosit e-mailuri de tip spearphishing pentru a distribui fișiere LNK (scurtături Windows) infectate, care aveau ca temă reuniuni legitime ale Comisiei Europene și ateliere legate de NATO.
Atunci când un destinatar făcea clic pe comanda rapidă, o comandă PowerShell ascunsă declanșa un lanț de infectare în mai multe etape, care ducea în final la instalarea troianului de acces la distanță PlugX. Campania a exploatat vulnerabilitatea ZDI-CAN-25373, o vulnerabilitate a comenzilor rapide din Windows dezvăluită în martie 2025, care permite executarea ascunsă a comenzilor prin ascunderea acestora în spatele unor spații de umplutură din argumentele liniei de comandă ale unui fișier LNK.
Utilizarea acestuia de către UNC6384 a scos în evidență o problemă mai amplă: fișierele de comenzi rapide sunt încă percepute de utilizatori ca fiind ceva obișnuit și sunt adesea supuse unei analize mai puțin amănunțite decât fișierele executabile sau documentele care conțin macrocomenzi. Odată ce un fișier LNK rău intenționat este executat, activitatea cea mai periculoasă se desfășoară adesea în timpul rulării, prin intermediul scripturilor codificate, al arhivelor etapizate și al abuzului de fișiere binare semnate, situații în care scanarea statică și verificările de reputație pot avea dificultăți în a ține pasul.
Campania nu a încetat să evolueze de atunci. În aprilie 2026, The Hacker News a raportat că același grup de amenințări, cunoscut în industrie sub numele de TA416, a reluat atacurile asupra organizațiilor guvernamentale și diplomatice europene începând cu jumătatea anului 2025, recurgând la noi metode de livrare, printre care abuzul redirecționărilor OAuth, paginile de autentificare Cloudflare Turnstile și execuția bazată pe MSBuild, continuând în același timp să-și actualizeze încărcătura PlugX.
Cercetarea Arctic Wolf analizată în acest articol surprinde o etapă a unei operațiuni care este acum documentată și încă în desfășurare și arată cum tehnologiile MetaDefender și Deep CDR™ acoperă împreună decalajul dintre detectare și prevenire.
Lanțul de atac al UNC6384
Totul a început cu un fișier pe care majoritatea utilizatorilor nu l-ar fi pus niciodată la îndoială. Fișierul LNK distribuit în cadrul acestei campanii, intitulat „Agenda_Meeting 26 Sep Brussels.lnk”, avea o dimensiune de doar 2,58 KB și făcea referire la o reuniune reală a Comisiei Europene privind facilitarea liberei circulații a mărfurilor la punctele de trecere a frontierei dintre UE și Balcanii de Vest. Era vorba despre o agendă reală a unui eveniment real, cu o comandă rapidă care părea absolut obișnuită.
Etapa 1: Acces inițial prin intermediul unui fișier LNK rău intenționat
Atunci când destinatarul a dat dublu clic pe comanda rapidă, aceasta a lansat în mod silențios PowerShell cu o comandă ascunsă care a decodat și a extras o arhivă tar (rjnlzlkfe.ta) în directorul local Temp al utilizatorului. Comanda PowerShell a folosit apoi tar.exe pentru a decomprima arhiva și a rula conținutul acesteia, deschizând în același timp un fișier PDF fals care afișa ordinea de zi reală a ședinței. Victima a văzut un document. Atacatorul a obținut drepturi de execuție a codului.
Etapa 2: Instalarea laterală a fișierelor DLL prin intermediul unui fișier binar semnat și legitim
Arhiva extrasă conținea trei fișiere: cnmpaui.exe, cnmpaui.dll și cnmplog.dat. Primul este un utilitar legitim de asistență pentru imprimantele Canon, semnat digital de Canon Inc. cu un certificat emis de Symantec. Semnătura este valabilă deoarece a fost marcată temporal în timp ce certificatul era încă activ, ceea ce înseamnă că Windows continuă să aibă încredere în fișierul binar chiar dacă certificatul în sine a expirat în 2018 (Arctic Wolf).
Aici precizia contează. Fișierul EXE nu este dăunător. Este un utilitar Canon autentic, folosit în mod abuziv într-un scop specific: atunci când cnmpaui.exe se execută, acesta caută fișierul cnmpaui.dll în propriul director înainte de a verifica căile de sistem. Prin plasarea unui fișier DLL dăunător cu același nume alături de fișierul binar legitim, UNC6384 a deturnat această ordine de căutare și și-a încărcat propriul cod în cadrul unui proces de încredere.
Etapa 3: Decriptarea încărcăturii utile și executarea PlugX
Fișierul rău intenționat cnmpaui.dll este un încărcător ușor, de doar 4 KB în varianta din octombrie 2025, conceput pentru un singur scop: decriptarea și executarea celui de-al treilea fișier, cnmplog.dat. Acest fișier este un blob criptat cu RC4 care conține troianul de acces la distanță PlugX. Loaderul îl decriptează folosind o cheie hardcoded de 16 octeți și mapează încărcătura rezultată direct în spațiul de memorie al procesului legitim cnmpaui.exe.
De la acel moment, PlugX rulează în cadrul unui fișier binar semnat și de încredere. Acesta își asigură persistența printr-o cheie Run din registru numită „CanonPrinter”, creează directoare ascunse cu nume precum „SamsungDriver” sau „DellSetupFiles” pentru a se integra în mediu și comunică cu infrastructura de comandă și control prin HTTPS pe portul 443, folosind căi URL aleatorii și un șir de agent utilizator Internet Explorer falsificat pentru a se amesteca cu traficul web normal.
De la primul clic până la activarea unei uși ascunse, nimic din acest lanț nu părea la prima vedere în mod evident rău intenționat, iar majoritatea comportamentelor cu adevărat suspecte au apărut abia în timpul rulării. Fiecare etapă a fost concepută astfel încât să pară normală la o inspecție statică și să se execute acolo unde filtrele tradiționale nu verificau.
De ce apărările statice au dificultăți cu acest lanț
Măsurile de apărare statice se confruntă cu dificultăți în fața acestui lanț, deoarece fiecare etapă este concepută astfel încât să pară inofensivă luată separat. Ceea ce face campania eficientă nu este un singur fișier evident rău intenționat, ci o succesiune de componente care par de încredere, a căror adevărată intenție devine vizibilă abia în timpul rulării. Acest model nu se limitează la fișierele de comenzi rapide: atacatorii au ascuns, de asemenea, încărcături malware în fișiere imagine aparent inofensive și le-au combinat cu distribuirea bazată pe fișiere LNK pentru a eluda detectarea antivirus tradițională.
De ce apărările statice au dificultăți cu acest lanț
| Etapă | Ce vede apărătorul | De ce trece inspecția |
|---|---|---|
| Fișier LNK rău intenționat | Un fișier de comandă rapidă de 2,58 KB referitor la o întâlnire diplomatică | Fișierele LNK sunt, în mod implicit, cu risc redus; vulnerabilitatea ZDI-CAN-25373 ascunde comanda PowerShell în spatele unor spații de umplutură pe care majoritatea programelor de verificare a metadatelor nu le analizează. |
| Semnat Canon EXE | Un fișier binar PE32 autentic, prevăzut cu o semnătură digitală validă, însoțită de o marcă temporală, provenind de la un editor recunoscut | Blocarea acestuia ar duce la semnalarea tuturor mediilor care utilizează software-ul imprimantelor Canon. Motoarele de reputație nu au niciun motiv să nu aibă încredere în acesta. |
| Fișier DLL de încărcare de 4 KB | O bibliotecă DLL minimalistă, fără importuri vizibil suspecte, a cărei singură funcție este să citească, să decripteze și să predea controlul execuției | Regulile YARA pot detecta variantele cunoscute, dar un încărcător recompilat cu o cheie diferită sau o rutină de decriptare diferită scapă de sub acoperirea statică. |
| Sarcină utilă PlugX criptată | Un bloc de date .dat opac care nu ajunge niciodată pe disc în formă decriptată | Scanarea bazată pe fișiere nu verifică niciodată malware-ul propriu-zis. Codul dăunător se încarcă direct în memoria procesului Canon de încredere. |
Diferența dintre ceea ce pot detecta instrumentele statice și ceea ce se întâmplă cu adevărat în timpul rulării este tocmai locul în care campaniile de evaziune prosperă. Pentru a o elimina, este necesară o abordare de detectare capabilă să observe întregul parcurs de execuție, de la lansarea inițială a fișierului până la fiecare etapă ulterioară, și să emită un verdict bazat pe comportament, mai degrabă decât pe aspect.
Cum MetaDefender dezvăluie întregul lanț
MetaDefender este soluția unificată de detectare a vulnerabilităților zero-day OPSWAT, care combină patru niveluri de analiză pentru a examina fiecare fișier din mai multe perspective înainte de a emite un singur verdict de încredere.
- Verificarea reputației amenințărilor compară hash-urile, metadatele și indicatorii încorporați ai fișierului cu informațiile globale obținute din peste 50 de miliarde de indicatori. În acest proces, acest lucru ajută la identificarea elementelor deja cunoscute și la oferirea unui context pentru cele necunoscute.
- Adaptive execută apoi fișierul într-un mediu emulat și urmărește secvența de execuție: fișierul LNK care lansează PowerShell, comanda codificată care decodifică o arhivă tar, fișierul binar Canon semnat care încarcă o DLL nesemnată și încărcătura PlugX decriptată care asigură persistența și se conectează la infrastructura C2 (comandă și control).
- Evaluarea amenințărilor combină aceste rezultate, semnalele de reputație și indicatorii extrași într-un scor de risc ponderat care ține seama de întregul context comportamental.
- Căutarea de similitudini bazată pe învățare automată compară fișierul și comportamentul acestuia cu familiile cunoscute de programe malware și cu activitățile asociate, contribuind la identificarea legăturilor cu variante ale PlugX sau cu campanii similare de încărcare laterală a fișierelor DLL.
Împreună, această soluție asigură o eficiență de detectare a vulnerabilităților de tip „zero-day” de până la 99,9% și oferă un singur verdict de încredere pentru fiecare fișier, în loc să oblige analiștii SOC să reconcilieze manual rapoarte separate. Acest aspect este esențial atunci când echipele trebuie să evalueze sute de fișiere pe zi provenite din e-mail, MFT, ICAP, chioșcuri, sisteme de stocare și fluxuri de lucru inter-domenii.
Un element cheie care diferențiază această soluție este emularea la nivel de instrucțiuni. Sandbox-urile tradiționale bazate pe mașini virtuale pot omite malware-ul care utilizează tehnici de evitare a mașinilor virtuale, întârzieri de timp și verificări ale mediului pentru a împiedica executarea completă. Sandboxing-ul adaptiv MetaDefender emulează comportamentul procesorului și al sistemului de operare la nivel de instrucțiuni, ceea ce ajută la identificarea întregii secvențe de sideloading de la fișierul LNK la PowerShell și apoi la DLL.
Pentru echipele SOC, beneficiile sunt concrete:
- O triere mai rapidă, deoarece verdictul este deja corelat și mapat conform sistemului MITRE
- Decizii de blocare mai ferme, deoarece verdictul reflectă comportamentul în timpul rulării, nu doar reputația statică
- Reducerea numărului de alerte false, deoarece MetaDefender poate face distincția între un fișier binar legitim și semnat care este utilizat în mod abuziv și o sarcină utilă cu adevărat rău intenționată
- O mai bună pregătire împotriva atacurilor de tip zero-day la punctele de preluare a fișierelor prin care aceste atacuri pătrund în mediu
Cum neutralizează tehnologia Deep CDR™ factorul declanșator
Tehnologia Deep CDR™ oprește acest lanț înainte ca acesta să se declanșeze, dezactivând fișierul care pune totul în mișcare. În timp ce MetaDefender dezvăluie ce face un fișier rău intenționat în timpul rulării, tehnologia Deep CDR™ contribuie la asigurarea faptului că fișierul nu are niciodată șansa să se execute.
Mecanismul este specific modului în care funcționează atacurile bazate pe LNK. O comandă rapidă folosită ca armă își ascunde intenția rău intenționată în argumentele de linie de comandă încorporate, în acest caz invocarea codificată PowerShell care decodifică arhiva tar și lansează lanțul de sarcini utile. Tehnologia Deep CDR™ identifică acea comandă încorporată și o înlocuiește cu o comandă inofensivă, păstrând comanda rapidă într-o formă curățată, dar eliminându-i capacitatea de a funcționa ca declanșator al atacului.
Rezultatul este un flux de lucru LNK „igienizat”, în care comportamentul rău intenționat inițial este neutralizat înainte de execuție. Fără execuție PowerShell, fără extragerea arhivelor, fără încărcarea laterală a fișierelor DLL, fără PlugX. Împreună, MetaDefender și tehnologia Deep CDR™ creează un model de apărare pe două niveluri.
Modelul de apărare pe două niveluri
| Strat | Tehnologie | Rol |
|---|---|---|
| Identifică și înțelege | MetaDefender | Analizează fișierul, identifică întregul parcurs de execuție în mai multe etape, extrage indicatorii de comportament (IOC) și generează un singur verdict de încredere. |
| Dezarmare și prevenire | Tehnologia Deep CDR™ | Neutralizează comanda LNK dăunătoare, împiedicând executarea comenzii rapide. |
Această distincție contează în practică. MetaDefender este soluția de detectare a amenințărilor de tip zero-day pentru fișierele care necesită o analiză aprofundată, mai ales atunci când obiectivul este de a înțelege comportamentul în timpul rulării și de a emite un verdict cert. Tehnologia Deep CDR™ reprezintă mecanismul de neutralizare și prevenire pentru fișierele al căror conținut poate fi dezactivat în siguranță, fără a afecta utilizarea legitimă. Împreună, acestea acoperă ambele aspecte ale problemei: înțelegerea modului în care acționează o amenințare și asigurarea faptului că aceasta nu va avea niciodată ocazia să-și atingă scopul.
De ce precizia contează
Precizia contează, deoarece nu toate fișierele dintr-un lanț de atac sunt dăunătoare, iar tratarea lor în mod uniform duce la o detectare excesivă, care subminează încrederea în instrumentele dumneavoastră. Această campanie demonstrează clar acest lucru.
Utilitarul semnat pentru imprimantele Canon (cnmpaui.exe) este un fișier binar legitim. Acesta are o semnătură digitală validă, o reputație curată și un hash asociat cu software-ul legitim. Semnalarea acestuia ca fiind rău intenționat ar genera alerte false în mediile în care este instalat software-ul pentru imprimantele Canon și i-ar determina pe analiștii SOC să nu mai aibă încredere în alertele pe care le primesc.
Principalii indicatori de compromis (IOC) sunt fișierul DLL rău intenționat (cnmpaui.dll) și lanțul comportamental pe care acesta îl generează:
- Încărcarea laterală și decriptarea unei sarcini utile criptate cu o cheie RC4 hardcodată
- Maparea fișierului binar PlugX decriptat în spațiul de memorie al unui proces de încredere
- Configurarea menținerii stării prin cheia de execuție „CanonPrinter”
- Inițierea traficului C2 prin HTTPS cu adrese URL aleatorii și un șir de caractere falsificat pentru agentul utilizator
Acestea sunt semnalele cele mai importante, iar ele ies la iveală doar atunci când un instrument de detectare poate observa comportamentul și face distincția între un fișier binar de încredere folosit în mod abuziv și un artefact cu adevărat rău intenționat.
Aici devine deosebit de utilă evaluarea unică și de încredere MetaDefender . În loc să atribuie o etichetă generală de „malicios” tuturor fișierelor din lanț, procesul de detectare evaluează fiecare componentă în parte pe baza comportamentului observat în contextul complet de execuție.
Fișierul EXE semnat este recunoscut ca un fișier binar legitim utilizat pentru instalarea laterală. Fișierul DLL și comportamentul de rulare pe care îl generează sunt semnalate ca fiind adevărata amenințare. Această distincție oferă echipelor de securitate o imagine mai clară și reduce efortul manual necesar pentru a separa informațiile relevante de zgomotul de fond.
Detectarea statică a DLL-ului rău intenționat poate fi, de asemenea, consolidată prin reguli specifice, precum YARA, iar semnăturile YARA publicate de Arctic Wolf pentru încărcătorul CanonStager constituie un punct de plecare util. Însă acoperirea prin semnături este, prin natura sa, reactivă. Într-un lanț de acest gen, adevăratul factor diferențiator îl reprezintă vizibilitatea comportamentală, combinată cu neutralizarea fișierelor.
Aplicarea securității stratificate a fișierelor pentru a identifica lanțurile de atac bazate pe fișiere LNK
Atacurile bazate pe fișiere LNK continuă să funcționeze deoarece se bazează pe un tip de fișier pe care oamenii îl văd zilnic și pe care rareori îl consideră periculos. Într-un articol anterior, am subliniat faptul că fișierele LNK sunt comenzi rapide obișnuite din Windows pe care atacatorii le pot transforma în arme ascunzând comenzi PowerShell sau cmd.exe în interiorul lor, uneori în moduri care par inofensive până când fișierul este efectiv deschis. Tocmai de aceea campaniile precum UNC6384 continuă să aibă succes: comanda rapidă pare familiară, dar comportamentul pe care îl declanșează este cu totul altul.
Acest model s-a menținut în cadrul mai multor campanii. În articolul nostru despre Emotet, am explicat de ce fișierele de tip „scurtătură” erau greu de distins de documentele obișnuite și că extensia lor nu era afișată în mod implicit în Windows. Acest lucru le-a făcut deosebit de eficiente ca mijloace de distribuire. Lecția este aceeași și în acest caz: atacatorii nu au nevoie de o nouă metodă atunci când un tip de fișier cunoscut poate încă să se strecoare în fluxurile de lucru cotidiene și să declanșeze un lanț de infecție în mai multe etape.
Răspunsul nu constă în a eticheta fiecare fișier din lanț ca fiind rău intenționat. Ci în aplicarea unei strategii de securitate a fișierelor pe mai multe niveluri, capabilă să identifice comportamentul în timpul rulării, să facă distincția între un fișier binar legitim folosit în mod abuziv și o sarcină utilă rău intenționată și să oprească declanșatorul înainte ca acesta să se activeze. Discutați cu un OPSWAT despre modul în care MetaDefender și tehnologia Deep CDR™ pot ajuta echipa dumneavoastră să detecteze, să analizeze și să prevină atacurile bazate pe fișiere LNK.
