Активность злоумышленников вокруг критических уязвимостей
Фото: www.gazeta.ru
Крупные кибергруппировки активно применяют две критические уязвимости в операционной системе Windows, спровоцировав волну атак на инфраструктурные объекты в десятках стран. Данные об этом получены от экспертов компаний Trend Micro и Arctic Wolf.
Неустраненная угроза: CVE-2025-9491 и файлы .lnk
Первая уязвимость, обозначенная как CVE-2025-9491 (ранее ZDI-CAN-25373), относится к категории "нулевого дня" и была официально выявлена в марте текущего года. Согласно Trend Micro, ее эксплуатация фиксируется с 2017 года не менее чем 11 преступными группами, включая структуры, связанные с государствами. Основной удар пришелся на США, Канаду, Россию и Южную Корею.
Проблема затрагивает обработку файлов-ярлыков формата .lnk. Злоумышленники создают специальные ярлыки, запускающие скрытый вредоносный код при открытии. Несмотря на семь месяцев с момента публичного обнаружения, патч для CVE-2025-9491 от Microsoft пока не выпущен. Уровень опасности оценивается в 7 баллов из 10.
Специалисты Arctic Wolf недавно зафиксировали масштабную кампанию, в которой китайская группировка UNC-6384 использовала эту брешь для распространения трояна PlugX в Европе. Данное вредоносное ПО обеспечивает полный контроль над скомпрометированными устройствами.
Быстрый ответ на CVE-2025-59287 и сохраняющиеся риски
Вторая активно используемая уязвимость — CVE-2025-59287 — связана со службами обновления Windows Server (WSUS). Ее критичность достигает 9,8 балла из 10. Хотя Microsoft оперативно выпустила внеплановый патч на прошлой неделе, специалисты Huntress и Sophos сообщают о новых атаках, зафиксированных уже после выхода обновления.
Эксперты отмечают, что злоумышленники эксплуатировали эту брешь для удаленного выполнения кода, что позволяло им захватывать полный контроль над серверами.
